Bug no Instagram permitia burlar autenticação de 2 fatores e roubar contas
Créditos: Needpix

Bug no Instagram permitia burlar autenticação de 2 fatores e roubar contas

Pesquisador independente que descobriu a falha ganhou prêmio de R$ 112 mil

Os códigos de programação do Instagram possuíam um bug que permitia burlar a autenticação de dois fatores da rede social — recurso normalmente considerado de alta segurança — e roubar contas de usuários em até dez minutos. A falha de segurança foi descoberta pela pesquisador independente Laxman Muthiyah, que ganhou uma recompensa de US$ 30.000 (R$ 112.000 em conversão direta) pela descoberta.

15/07/2019 às 16:04
Notícia

Templo sagrado em Bali decepciona turistas em busca da foto p...

Fotos compartilhadas nas redes sociais é apenas uma técnica fotográfica utilizada

A vulnerabilidade, que já foi corrigida, estava precisamente no sistema de recuperação de senha do Instagram. Ao clicar em "esqueci minha senha", o usuário é levado para uma tela onde deve digitar o código de confirmação de seis dígitos, que é enviado através de mensagem de texto ou por email.

Site oficial: Instagram

O método encontrado por Muthiyah utiliza ataques de força bruta para tentar uma enorme série de combinações para advinhar o código certo. Para evitar um ataque como esse, há um limite de 250 tentativas que você pode fazer. Só que, na verdade, esse limite é apenas por endereço de IP, o que significa que você pode alterar seu endereço e promover novas tentativas.

"Num cenário de ataque real, o hacker precisaria de 5.000 endereços de IP para hackear uma conta. Parece muito, mas na verdade é algo fácil de fazer se você tem um serviço de hospedagem em nuvem como Amazon ou Google. Custaria cerca de US$ 150 para executar o ataque completa de um milhão de códigos".
Laxman Muthiyah, pesquisador de segurança independente

Conforme aponta o site PC Mag (e a matemática de nível de ensino médio), um código de seis dígitos pode resultar em um milhão de combinações diferentes. Isso é algo impossível para um humano atingir num curto espaço de tempo, mas é tranquilo de ser realizado por um script customizado — inclusive num período de apenas 10 minutos.

"Nós arrumamos o problema e não encontramos qualquer evidência de mal uso. Somos gratos pelo pesquisador em sua ajuda em identificar o problema". 
Comunicado oficial do Instagram

Via: PCMag, https://threatpost.com/researcher-bypasses-instagram-2fa/146466/
Golpe que clona contas de WhatsApp já atingiu cerca de 8,5 milhões de brasileiros

Golpe que clona contas de WhatsApp já atingiu cerca de 8,5 milhões de brasileiros

Os danos vão desde vazamento de conversas privadas até pedidos de depósitos bancários


Instagram vai permitir que usuários sinalizem conteúdos publicados com Fake News

Instagram vai permitir que usuários sinalizem conteúdos publicados com Fake News

Medida da rede social tem como objetivo diminuir o alcance de informações falsas


Especialistas em segurança alertam contra novo esquema de phishing para usuários da Apple

Especialistas em segurança alertam contra novo esquema de phishing para usuários da Apple

Golpistas miram em pessoas que acabaram de alterar sua senha para e-mail parecer mais realista


Xiaomi adiciona autenticação de dois fatores para contas Mi

Xiaomi adiciona autenticação de dois fatores para contas Mi

Opção de maior segurança estará disponível após um update para a MIUI10


Nova vulnerabilidade do Bluetooth, Knob Attack, deixa dispositivos abertos à ataques

Nova vulnerabilidade do Bluetooth, Knob Attack, deixa dispositivos abertos à ataques

Esse bug permite que hackers encurtem o código de criptografia e invadam os dispositivos