Falha no Instagram permitia roubar conta de qualquer pessoa
Bug do Instagram podia ser explorado do jeito mais simples possível: redefinindo a senha
Bug do Instagram podia ser explorado do jeito mais simples possível: redefinindo a senha
Uma falha de segurança no Instagram poderia ter dado acesso indevido a qualquer conta da rede social. A brecha, presente no sistema de redefinição de senhas, permitia que uma pessoa mal intencionada alterasse as informações de acesso de uma vítima mesmo sem ter um código de verificação em mãos.
A vulnerabilidade foi descoberta pelo pesquisador de segurança Laxman Muthiyah, que já apareceu por aqui: é o mesmo que reportou uma brecha que permitia excluir álbuns de fotos de qualquer pessoa no Facebook (!). Muthiyah seguiu novamente o protocolo e descreveu a falha de maneira responsável para a rede social — que já consertou o problema.
A ideia é simples: quando você clica no link “Esqueci minha senha” no Instagram, a rede social envia um código de verificação por e-mail ou mensagem de texto para se certificar de que você é mesmo o dono da conta. O código de verificação tem seis dígitos, o que significa que há 1 milhão de combinações possíveis. E se fosse possível tentar cada número da forma mais rápida possível, de 000000 a 999999, utilizando força bruta?
Muthiyah fez o teste e descobriu que o Instagram bloqueava as tentativas automatizadas de redefinição de senha após cerca de 200 adivinhações. A questão é que esse bloqueio era aplicado por IP — se ele mudasse de IP, seria possível fazer mais 200 tentativas.
Então era fácil: bastava ter milhares de IPs diferentes em mãos para fazer centenas de milhares de tentativas em menos de 10 minutos, que é o tempo de validade de um código de verificação. Na teoria, com 5 mil computadores, cada um fazendo 200 tentativas, seria possível abranger todas as combinações possíveis. Na prática, Muthiyah realmente fez o teste, utilizando mil IPs diferentes para fazer 200 mil tentativas.
Isso parece muito fora da realidade, mas não é tão difícil controlar 5 mil computadores hoje em dia — especialmente com os milhões de equipamentos zumbis espalhados pela internet, como PCs desatualizados e câmeras de segurança vulneráveis. E, de acordo com Muthiyah, se você utilizasse o serviço de nuvem da Amazon ou do Google para fazer o ataque, isso custaria cerca de US$ 150.
O Facebook corrigiu a falha e, como recompensa, pagou US$ 30 mil ao pesquisador.
Leia | Instagram hackeado? Veja como tentar recuperar a sua conta invadida