Gli hacker potrebbero aver violato qualsiasi account Instagram attraverso un difetto nel sistema di reimpostazione della password
La maggior parte degli utenti di Facebook probabilmente non ha idea di chi sia Laxman Muthiyah, il che è un peccato perché non hanno idea di quanto ha fatto per proteggere la loro privacy. Laxman Muthiyah è uno sviluppatore web e ricercatore di sicurezza dal India che ha scoperto alcune serie vulnerabilità nel più grande social network del mondo. Nel febbraio 2015, ad esempio, ha scoperto che con aiuto di un token di accesso facilmente ottenibile e il numero di identificazione di un album di Facebook, poteva eliminare le tue foto senza il tuo consenso. Circa un mese dopo, ha scoperto un altro difetto nelle applicazioni mobili di Facebook, che ha permesso a chiunque di guardare le foto private sul tuo telefono.
Muthiyah ha scoperto alcuni altri bug di Facebook e recentemente ha deciso di dare u occhiata a come stanno andando le altre piattaforme popolari di Mark Zuckerberg. Instagram è stato il primo della lista, e sicuramente, dopo aver cercato il suo meccanismo di reimpostazione della password, Muthiyah ha trovato un bug che avrebbe permesso agli hacker motivati di assumere qualsiasi account Instagram che desideravano.
Table of Contents
I diversi meccanismi di reimpostazione della password di Instagram
Le password di Instagram possono essere ripristinate sia tramite il browser che tramite applicazione mobile del social network. Nel browser, il meccanismo è vecchio stile e semplice: fai clic su "Hai dimenticato la password?" link, inserisci il nome utente del tuo account e un link per reimpostare la password viene inviato alla tua email. Finché hai accesso al tuo indirizzo email, dovresti andare bene.
Sui dispositivi mobili, le cose sono leggermente diverse. Dopo aver avviato la procedura di reimpostazione della password, Instagram invia un messaggio di testo con un passcode di sei cifre al numero di telefono associato al tuo account. Fornisci il passcode e applicazione ti consente di assegnare una nuova password.
Il passcode nel SMS scade dopo dieci minuti e esiste un limite di velocità su quanti codici errati è possibile inserire dallo stesso IP in un breve periodo di tempo. Il sistema è stato progettato in questo modo per garantire che un criminale informatico non possa usare la forza bruta per provare a indovinare il codice a sei cifre. Questo è quello che pensavano le persone che avevano messo in atto.
La protezione bruta della forza bruta di Instagram
Laxman Muthiyah sospettava che ci potesse essere un modo per aggirare la protezione della forza bruta di Instagram e per confermare se fosse davvero così, doveva fare un po di ricognizione. Ha creato un account falso, ha avviato una procedura di reimpostazione della password e ha scritto uno script che ha provato automaticamente 1.000 diversi codici casuali a sei cifre in rapida successione. 750 di loro sono stati negati, il che ha dato a Muthiyah il limite di velocità - 250 richieste per indirizzo IP. Si rese poi conto, tuttavia, che avrebbe potuto inviare altre 1.000 richieste dallo stesso indirizzo. Il limite di velocità invaliderebbe ancora una volta tre quarti di essi, ma IP non verrebbe inserito nella lista nera.
Dopo qualche altro grattato alla testa, ha capito che se avesse avuto il controllo su un gran numero di IP e se avesse potuto innescare qualcosa di noto come condizione di razza (comportamento indesiderato da un sistema informatico dopo che gli veniva chiesto di eseguire più attività contemporaneamente), avrebbe potuto prova molte diverse combinazioni di sei cifre in un periodo di tempo relativamente breve senza colpire il limite di velocità.
Per dimostrare il suo punto, ha usato 1.000 IP diversi per inviare poco meno di 200.000 richieste e il suo video di prova mostra che tutti, tranne 770, sono passati. Un passcode a sei cifre ha un totale di 1 milione di combinazioni possibili, il che significa che se gli attaccanti possono inviare richieste da 5.000 IP, possono praticamente garantire il successo della forzatura brutale del codice importantissimo.
$ 150 per subentrare in un singolo account Instagram. Ne vale la pena?
5.000 IP potrebbero sembrare molto, ma Muthiyah ha calcolato che, grazie ai moderni servizi cloud di Amazon e Google, affittare un numero simile di indirizzi costerebbe circa $ 150. I criminali saranno interessati a pagare $ 150 per sequestrare un account di una persona che condivide i loro selfie con amici e familiari? Sembra improbabile. Se, tuttavia, obiettivo è uno dei cosiddetti influenzatori di Instagram, la storia è diversa.
Stiamo parlando di utenti con centinaia di migliaia o addirittura milioni di follower che sono pronti a fare clic su ogni link che vedono. Il potenziale per scatenare il caos è più o meno illimitato, motivo per cui quando Muthiyah venne a conoscenza del difetto, si mise immediatamente in contatto con Instagram, e bisogna dire che la risposta della rete di condivisione di foto lasciava poco a desiderare.
La vulnerabilità è stata riparata rapidamente e Laxman Muthiyah è stata premiata con una ricompensa di $ 30.000 per aver trovato e trasmesso le informazioni importanti. Questo è ultimo di una lunga serie di doni che Muthiyah ha ricevuto per il suo lavoro. Gli utenti dovrebbero essere grati per i suoi sforzi e sperare che continuerà ad essere un passo avanti rispetto ai criminali informatici nella ricerca degli errori.
