Falha no Instagram permitia roubar conta de qualquer pessoa

Bug do Instagram podia ser explorado do jeito mais simples possível: redefinindo a senha

Paulo Higa
• Atualizado há 3 anos
Instagram

Uma falha de segurança no Instagram poderia ter dado acesso indevido a qualquer conta da rede social. A brecha, presente no sistema de redefinição de senhas, permitia que uma pessoa mal intencionada alterasse as informações de acesso de uma vítima mesmo sem ter um código de verificação em mãos.

A vulnerabilidade foi descoberta pelo pesquisador de segurança Laxman Muthiyah, que já apareceu por aqui: é o mesmo que reportou uma brecha que permitia excluir álbuns de fotos de qualquer pessoa no Facebook (!). Muthiyah seguiu novamente o protocolo e descreveu a falha de maneira responsável para a rede social — que já consertou o problema.

A ideia é simples: quando você clica no link “Esqueci minha senha” no Instagram, a rede social envia um código de verificação por e-mail ou mensagem de texto para se certificar de que você é mesmo o dono da conta. O código de verificação tem seis dígitos, o que significa que há 1 milhão de combinações possíveis. E se fosse possível tentar cada número da forma mais rápida possível, de 000000 a 999999, utilizando força bruta?

Muthiyah fez o teste e descobriu que o Instagram bloqueava as tentativas automatizadas de redefinição de senha após cerca de 200 adivinhações. A questão é que esse bloqueio era aplicado por IP — se ele mudasse de IP, seria possível fazer mais 200 tentativas.

Então era fácil: bastava ter milhares de IPs diferentes em mãos para fazer centenas de milhares de tentativas em menos de 10 minutos, que é o tempo de validade de um código de verificação. Na teoria, com 5 mil computadores, cada um fazendo 200 tentativas, seria possível abranger todas as combinações possíveis. Na prática, Muthiyah realmente fez o teste, utilizando mil IPs diferentes para fazer 200 mil tentativas.

Isso parece muito fora da realidade, mas não é tão difícil controlar 5 mil computadores hoje em dia — especialmente com os milhões de equipamentos zumbis espalhados pela internet, como PCs desatualizados e câmeras de segurança vulneráveis. E, de acordo com Muthiyah, se você utilizasse o serviço de nuvem da Amazon ou do Google para fazer o ataque, isso custaria cerca de US$ 150.

O Facebook corrigiu a falha e, como recompensa, pagou US$ 30 mil ao pesquisador.

Leia | Instagram hackeado? Veja como tentar recuperar a sua conta invadida

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.