Bug no Instagram permitia burlar autenticação de 2 fatores e roubar contas
Créditos: Needpix

Bug no Instagram permitia burlar autenticação de 2 fatores e roubar contas

Pesquisador independente que descobriu a falha ganhou prêmio de R$ 112 mil

Os códigos de programação do Instagram possuíam um bug que permitia burlar a autenticação de dois fatores da rede social — recurso normalmente considerado de alta segurança — e roubar contas de usuários em até dez minutos. A falha de segurança foi descoberta pela pesquisador independente Laxman Muthiyah, que ganhou uma recompensa de US$ 30.000 (R$ 112.000 em conversão direta) pela descoberta.

15/07/2019 às 16:04
Notícia

Templo sagrado em Bali decepciona turistas em busca da foto p...

Fotos compartilhadas nas redes sociais é apenas uma técnica fotográfica utilizada

A vulnerabilidade, que já foi corrigida, estava precisamente no sistema de recuperação de senha do Instagram. Ao clicar em "esqueci minha senha", o usuário é levado para uma tela onde deve digitar o código de confirmação de seis dígitos, que é enviado através de mensagem de texto ou por email.

Site oficial: Instagram

O método encontrado por Muthiyah utiliza ataques de força bruta para tentar uma enorme série de combinações para advinhar o código certo. Para evitar um ataque como esse, há um limite de 250 tentativas que você pode fazer. Só que, na verdade, esse limite é apenas por endereço de IP, o que significa que você pode alterar seu endereço e promover novas tentativas.

"Num cenário de ataque real, o hacker precisaria de 5.000 endereços de IP para hackear uma conta. Parece muito, mas na verdade é algo fácil de fazer se você tem um serviço de hospedagem em nuvem como Amazon ou Google. Custaria cerca de US$ 150 para executar o ataque completa de um milhão de códigos".
Laxman Muthiyah, pesquisador de segurança independente

Conforme aponta o site PC Mag (e a matemática de nível de ensino médio), um código de seis dígitos pode resultar em um milhão de combinações diferentes. Isso é algo impossível para um humano atingir num curto espaço de tempo, mas é tranquilo de ser realizado por um script customizado — inclusive num período de apenas 10 minutos.

"Nós arrumamos o problema e não encontramos qualquer evidência de mal uso. Somos gratos pelo pesquisador em sua ajuda em identificar o problema". 
Comunicado oficial do Instagram

Via: PCMag, https://threatpost.com/researcher-bypasses-instagram-2fa/146466/
WhatsApp Business processará quem usar o aplicativo para enviar mensagens em massa

WhatsApp Business processará quem usar o aplicativo para enviar mensagens em massa

Regra entrou em vigor no dia 7 de dezembro


Vídeo mostra peixe saltando para tentar derrubar drone DJI Mavic Pro

Vídeo mostra peixe saltando para tentar derrubar drone DJI Mavic Pro

Espécie Aruanã consegue saltar até 2 metros para pegar comida... ou capturar gadgets tecnológicos


Chrome 79 alerta usuário caso sua senha já tenha sido vazada na internet

Chrome 79 alerta usuário caso sua senha já tenha sido vazada na internet

Nova versão do navegador traz melhorias de segurança e novas medidas preventivas


SpaceX estuda revestir satélites Starlink para não atrapalhar a astronomia

SpaceX estuda revestir satélites Starlink para não atrapalhar a astronomia

Atualmente 120, empresa pretende lançar cerca de 42 mil satélites para fornecer internet


Google lança retrospectiva de 2019 baseada nas principais buscas do ano

Google lança retrospectiva de 2019 baseada nas principais buscas do ano

Alta nas pesquisas relacionadas a heróis virou temática