Início » Antivírus e Segurança » Falha no Instagram permitia roubar conta de qualquer pessoa

Falha no Instagram permitia roubar conta de qualquer pessoa

Bug do Instagram podia ser explorado do jeito mais simples possível: redefinindo a senha

Paulo Higa Por
17 semanas atrás

Uma falha de segurança no Instagram poderia ter dado acesso indevido a qualquer conta da rede social. A brecha, presente no sistema de redefinição de senhas, permitia que uma pessoa mal intencionada alterasse as informações de acesso de uma vítima mesmo sem ter um código de verificação em mãos.

Instagram

A vulnerabilidade foi descoberta pelo pesquisador de segurança Laxman Muthiyah, que já apareceu por aqui: é o mesmo que reportou uma brecha que permitia excluir álbuns de fotos de qualquer pessoa no Facebook (!). Muthiyah seguiu novamente o protocolo e descreveu a falha de maneira responsável para a rede social — que já consertou o problema.

A ideia é simples: quando você clica no link “Esqueci minha senha” no Instagram, a rede social envia um código de verificação por e-mail ou mensagem de texto para se certificar de que você é mesmo o dono da conta. O código de verificação tem seis dígitos, o que significa que há 1 milhão de combinações possíveis. E se fosse possível tentar cada número da forma mais rápida possível, de 000000 a 999999, utilizando força bruta?

Muthiyah fez o teste e descobriu que o Instagram bloqueava as tentativas automatizadas de redefinição de senha após cerca de 200 adivinhações. A questão é que esse bloqueio era aplicado por IP — se ele mudasse de IP, seria possível fazer mais 200 tentativas.

Então era fácil: bastava ter milhares de IPs diferentes em mãos para fazer centenas de milhares de tentativas em menos de 10 minutos, que é o tempo de validade de um código de verificação. Na teoria, com 5 mil computadores, cada um fazendo 200 tentativas, seria possível abranger todas as combinações possíveis. Na prática, Muthiyah realmente fez o teste, utilizando mil IPs diferentes para fazer 200 mil tentativas.

Isso parece muito fora da realidade, mas não é tão difícil controlar 5 mil computadores hoje em dia — especialmente com os milhões de equipamentos zumbis espalhados pela internet, como PCs desatualizados e câmeras de segurança vulneráveis. E, de acordo com Muthiyah, se você utilizasse o serviço de nuvem da Amazon ou do Google para fazer o ataque, isso custaria cerca de US$ 150.

O Facebook corrigiu a falha e, como recompensa, pagou US$ 30 mil ao pesquisador.

Mais sobre: