Início » Antivírus e Segurança » Falha no Instagram permitia roubar conta de qualquer pessoa

Falha no Instagram permitia roubar conta de qualquer pessoa

Bug do Instagram podia ser explorado do jeito mais simples possível: redefinindo a senha

Paulo Higa Por

Uma falha de segurança no Instagram poderia ter dado acesso indevido a qualquer conta da rede social. A brecha, presente no sistema de redefinição de senhas, permitia que uma pessoa mal intencionada alterasse as informações de acesso de uma vítima mesmo sem ter um código de verificação em mãos.

Instagram

A vulnerabilidade foi descoberta pelo pesquisador de segurança Laxman Muthiyah, que já apareceu por aqui: é o mesmo que reportou uma brecha que permitia excluir álbuns de fotos de qualquer pessoa no Facebook (!). Muthiyah seguiu novamente o protocolo e descreveu a falha de maneira responsável para a rede social — que já consertou o problema.

A ideia é simples: quando você clica no link “Esqueci minha senha” no Instagram, a rede social envia um código de verificação por e-mail ou mensagem de texto para se certificar de que você é mesmo o dono da conta. O código de verificação tem seis dígitos, o que significa que há 1 milhão de combinações possíveis. E se fosse possível tentar cada número da forma mais rápida possível, de 000000 a 999999, utilizando força bruta?

Muthiyah fez o teste e descobriu que o Instagram bloqueava as tentativas automatizadas de redefinição de senha após cerca de 200 adivinhações. A questão é que esse bloqueio era aplicado por IP — se ele mudasse de IP, seria possível fazer mais 200 tentativas.

Então era fácil: bastava ter milhares de IPs diferentes em mãos para fazer centenas de milhares de tentativas em menos de 10 minutos, que é o tempo de validade de um código de verificação. Na teoria, com 5 mil computadores, cada um fazendo 200 tentativas, seria possível abranger todas as combinações possíveis. Na prática, Muthiyah realmente fez o teste, utilizando mil IPs diferentes para fazer 200 mil tentativas.

Isso parece muito fora da realidade, mas não é tão difícil controlar 5 mil computadores hoje em dia — especialmente com os milhões de equipamentos zumbis espalhados pela internet, como PCs desatualizados e câmeras de segurança vulneráveis. E, de acordo com Muthiyah, se você utilizasse o serviço de nuvem da Amazon ou do Google para fazer o ataque, isso custaria cerca de US$ 150.

O Facebook corrigiu a falha e, como recompensa, pagou US$ 30 mil ao pesquisador.

Mais sobre:

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Charles Villa
É só ele instalar algum software ( tem vários) que possui várias instâncias de emulação de Android e utilizar um proxy em cada um, mas de forma ou de outra o Instagram consegue detectar esse tipo de atividade acredito
Charles Villa
Eu acho pouco provável que isso realmente funcione, o Instagram já consegue detectar criação de conta em massa mesmo mudando o IP e com subnets distintas, Device ID, User agent etc.
Rodrigo Dias Javornik
Daria para utilizar o https://luminati.io/ para contornar o bloquei de IP.
Luiz Henrique
"se você utilizasse o serviço de nuvem da Amazon ou do Google para fazer o ataque"Dúvido.Todos que já usaram os serviços de cloud dessas empresas sabe que existem limites de quantos ips cada usuário pode ter, fora que, para aumentar um limite de ips é preciso confirmar várias informações sobre a empresa, propósitos e motivos para ter uma quantidade grande de ips assim.
Franco Luiz
Cara todo app Gratuito rouba dados e afins e nego ta cagando pra isso e instala da mesma forma..... Entao n adianta ninguem liga pra dados roubados
Douglas Souza Luz
Não vejo diferença entre usar o Google Photos ou o Faceapp. Só muda pra quem vão os dados.
Rookie naz
Mas o faceapp pede algum dado em especifico? Usei aqui e a única coisa que pedem é permissão pra acessar a galeria do celular.
Evil Little Goat
E o tal do faceapp? O povo não aprende, mesmo depois do Cambridge Analytica, empresa do Banon que ajudou a eleger o laranja lá nos EUA e o jumento aqui, continuam dando seus dados pra esses caras.