Bug no Instagram permitia burlar autenticação de 2 fatores e roubar contas
Créditos: Needpix

Bug no Instagram permitia burlar autenticação de 2 fatores e roubar contas

Pesquisador independente que descobriu a falha ganhou prêmio de R$ 112 mil

Os códigos de programação do Instagram possuíam um bug que permitia burlar a autenticação de dois fatores da rede social — recurso normalmente considerado de alta segurança — e roubar contas de usuários em até dez minutos. A falha de segurança foi descoberta pela pesquisador independente Laxman Muthiyah, que ganhou uma recompensa de US$ 30.000 (R$ 112.000 em conversão direta) pela descoberta.

15/07/2019 às 16:04
Notícia

Templo sagrado em Bali decepciona turistas em busca da foto p...

Fotos compartilhadas nas redes sociais é apenas uma técnica fotográfica utilizada

A vulnerabilidade, que já foi corrigida, estava precisamente no sistema de recuperação de senha do Instagram. Ao clicar em "esqueci minha senha", o usuário é levado para uma tela onde deve digitar o código de confirmação de seis dígitos, que é enviado através de mensagem de texto ou por email.

Site oficial: Instagram

O método encontrado por Muthiyah utiliza ataques de força bruta para tentar uma enorme série de combinações para advinhar o código certo. Para evitar um ataque como esse, há um limite de 250 tentativas que você pode fazer. Só que, na verdade, esse limite é apenas por endereço de IP, o que significa que você pode alterar seu endereço e promover novas tentativas.

"Num cenário de ataque real, o hacker precisaria de 5.000 endereços de IP para hackear uma conta. Parece muito, mas na verdade é algo fácil de fazer se você tem um serviço de hospedagem em nuvem como Amazon ou Google. Custaria cerca de US$ 150 para executar o ataque completa de um milhão de códigos".
Laxman Muthiyah, pesquisador de segurança independente

Conforme aponta o site PC Mag (e a matemática de nível de ensino médio), um código de seis dígitos pode resultar em um milhão de combinações diferentes. Isso é algo impossível para um humano atingir num curto espaço de tempo, mas é tranquilo de ser realizado por um script customizado — inclusive num período de apenas 10 minutos.

"Nós arrumamos o problema e não encontramos qualquer evidência de mal uso. Somos gratos pelo pesquisador em sua ajuda em identificar o problema". 
Comunicado oficial do Instagram

Continua após a publicidade
Via: PCMag, https://threatpost.com/researcher-bypasses-instagram-2fa/146466/
User img

Carlos Felipe

Apaixonado por games desde os 6 anos de idade, quando ganhou um Playstation, época em que também se divertia com o Super Nintendo dos outros. Em 2005 migrou parao PC, e aí começou a se interessar por tecnologia também. Apesar disso, nunca conseguiu largar a preferência por jogos de corrida e de esporte, principalmente os de futebol. Estuda jornalismo na Universidade Federal de Santa Catarina.

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.