Os Hackers Poderiam Ter Invadido Qualquer Conta do Instagram Através de uma Falha no Sistema de Redefinição de Senha
A maioria dos usuários do Facebook provavelmente não tem idéia de quem é Laxman Muthiyah, o que é uma pena, porque eles não têm idéia do quanto ele fez para proteger a sua privacidade. Laxman Muthiyah é um desenvolvedor da web e pesquisador de segurança da Índia que descobriu algumas vulnerabilidades sérias na maior rede social do mundo. Em fevereiro de 2015, por exemplo, ele descobriu que, com a ajuda de um token de acesso facilmente obtido e o número de identificação de um álbum do Facebook, ele poderia excluir suas fotos sem o seu consentimento. Cerca de um mês depois, ele descobriu outra falha nos aplicativos móveis do Facebook, que permitia a qualquer um ver imagens particulares no seu telefone.
Muthiyah descobriu alguns outros bugs do Facebook, e ele recentemente decidiu dar uma olhada em como as outras plataformas populares de Mark Zuckerberg estão fazendo. O Instagram foi o primeiro da lista, e com certeza, depois de examinar o seu mecanismo de redefinição de senha, Muthiyah encontrou um bug que teria permitido que hackers motivados assumissem qualquer conta no Instagram que eles gostassem.
Índice
Mecanismos de redefinição de senha diferentes do Instagram
As senhas do Instagram podem ser redefinidas tanto pelo navegador quanto pelo aplicativo móvel da rede social. No navegador, o mecanismo é antiquado e simples - você clica no botão do link "Esqueceu a senha?", insere o nome de usuário de sua conta e um link de redefinição de senha é enviado para o seu e-mail. Contanto que você tenha acesso ao seu endereço de e-mail, você deve estar bem.
Nos dispositivos móveis, as coisas são um pouco diferentes. Depois de iniciar o procedimento de redefinição de senha, o Instagram envia uma mensagem de texto com uma senha de seis dígitos para o número de telefone associado à sua conta. Você fornece a senha e o aplicativo permite redefinir uma nova senha.
A senha no SMS expira após dez minutos, e há um limite de taxa de quantos códigos errados você pode inserir do mesmo IP em um curto período de tempo. O sistema foi projetado dessa maneira para garantir que um cibercriminoso não possa usar a força bruta para tentar adivinhar o código de seis dígitos. Isso é o que as pessoas que colocaram essa senha pensaram, de qualquer forma.
A Proteção contra força bruta instável do Instagram
Laxman Muthiyah suspeitava que poderia haver uma maneira de contornar a proteção da força bruta do Instagram, e para confirmar se esse realmente era o caso, ele precisava fazer algum reconhecimento. Ele criou uma conta falsa, iniciou um procedimento de redefinição de senha e escreveu um script que tentava automaticamente 1.000 códigos aleatórios diferentes de seis dígitos em rápida sucessão. 750 deles foram negados, o que deu Muthiyah o limite de taxa - 250 pedidos por endereço de IP. Ele então percebeu, no entanto, que poderia enviar outros 1.000 pedidos do mesmo endereço.. O limite de taxa mais uma vez invalidaria três quartos deles, mas o IP não estaria na lista negra.
Depois de um pouco mais de raciocínio, ele descobriu que se tivesse controle sobre um grande número de IPs e se pudesse desencadear algo conhecido como condição de corrida ('uma falha num sistema ou processo em que o resultado do processo é inesperadamente dependente da sequência ou sincronia de outros eventos'), ele poderia tentar muitas combinações de seis dígitos diferentes em um período de tempo relativamente curto, sem atingir o limite de taxa.
Para provar o seu ponto de vista, ele usou 1.000 IPs diferentes para enviar pouco menos de 200.000 pedidos, e seu vídeo de prova de conceito mostra que todos, com exceção de 770 deles, passaram. Uma senha de seis dígitos tem um total de 1 milhão de combinações possíveis, o que significa que, se os atacantes puderem enviar solicitações de 5.000 IPs, elas podem garantir o sucesso tão importante do código.
$150 para assumir uma única conta no Instagram. Vale a pena?
5.000 IPs podem parecer muito, mas Muthiyah calculou que, graças aos modernos serviços na nuvem do Amazon e do Google, alugar um número semelhante de endereços custaria cerca de US $150. Os criminosos estarão interessados em pagar US $150 para sequestrar a conta de uma pessoa que compartilha as suas selfies com amigos e familiares? Parece improvável. Se, no entanto, o alvo for um dos chamados influenciadores do Instagram, a história é diferente.
Estamos falando de usuários com centenas de milhares ou até milhões de seguidores que estão prontos para clicar em todos os links visualizados. O potencial para causar estragos é mais ou menos ilimitado, e é por isso que, quando Muthiyah soube da falha, ele entrou em contato com o Instagram imediatamente, e deve-se dizer que a resposta da rede de compartilhamento de fotos deixou pouco a desejar.
A vulnerabilidade foi corrigida rapidamente, e Laxman Muthiyah foi recompensado com US $30.000 por encontrar e transmitir as informações importantes. Essa é a última de uma longa lista de recompensas que Muthiyah recebeu por seu trabalho. Os usuários devem agradecer por seus esforços e esperar que ele continue a estar um passo à frente dos criminosos cibernéticos para encontrar os bugs.
