Cómo tu cuenta de Instagram podría haber sido secuestrada

La estafa se hace pasar por WhatsApp y ofrece ‘internet gratis’
julio 29, 2019
La clave para acabar con las cicatrices se escondía en un embrión: así están desarrollando las tiritas del futuro
julio 30, 2019
Show all

Cómo tu cuenta de Instagram podría haber sido secuestrada

 

Un investigador independiente encontró una laguna de seguridad en el flujo de recuperación de contraseña móvil de Instagram que podría haber permitido a los atacantes ingresar en las cuentas de usuario.

 

La falla, descubierta y reportada por el investigador con sede en India Laxman Muthiyah, ha sido corregida desde entonces por el propietario de Instagram, Facebook. El investigador, mientras tanto, recibió un pago de recompensa de errores de US $ 30,000 por su trabajo.

Muthiyah, quien tiene un historial de detectar errores en Facebook, dijo que su último esfuerzo en la búsqueda de errores se debió a la reciente decisión de Facebook de aumentar los pagos por vulnerabilidades que pueden llevar a la toma de cuentas. La interfaz web de Instagram con un restablecimiento de contraseña basado en enlace no es susceptible a la vulnerabilidad.

Como se describe en esta publicación y se demuestra en este video de prueba de concepto , el agujero de seguridad tenía que ver con cómo el servicio para compartir fotos permitía a los usuarios recuperar el acceso a sus cuentas en caso de que hubieran olvidado sus contraseñas.

Como parte del proceso de recuperación de contraseña, recibirá un código de seis dígitos en su número de teléfono de recuperación que se le pedirá que ingrese en la aplicación como una forma de validar su identidad. El código expira después de 10 minutos, e Instagram tiene salvaguardas adicionales implementadas para frustrar los ataques de fuerza bruta en el código, donde los usuarios que no hacen nada intentarán abrirse camino probando todas las combinaciones posibles en un intento por llegar a la correcta. Con seis dígitos del 0-9, no habría más de un millón de posibilidades para probar.

Aún así, Muthiyah demostró que el proceso podría ser subvertido.

Haciendo una conjetura

Lo bueno es que el servicio para compartir fotos limita el número de intentos que se pueden realizar desde una dirección IP particular dentro de la ventana de 10 minutos. Como resultado, Muthiyah inicialmente descubrió que solo 250 de las 1,000 solicitudes que había enviado finalmente se procesaron, mientras que el resto terminó limitado por el índice o fue negado efectivamente.

Sin embargo, se dio cuenta de que “podía enviar solicitudes continuamente sin ser bloqueado”, a pesar de que el número de solicitudes enviadas dentro de un período de tiempo estaba realmente restringido.

“Después de unos días de pruebas continuas, encontré dos cosas que me permitieron eludir su mecanismo de limitación de velocidad”, dijo. Las dos cosas eran un riesgo de carrera y una rotación de IP. “El envío de solicitudes simultáneas utilizando múltiples direcciones IP me permitió enviar una gran cantidad de solicitudes sin limitarme”, dijo.

Para resumir, Muthiyah seleccionó 1,000 direcciones IP de servicios basados ​​en la nube para la tarea y probó 200,000 combinaciones de códigos contra una cuenta de prueba.

“En un escenario de ataque real, el atacante necesita 5000 IP para hackear una cuenta. Suena grande, pero en realidad es fácil si utiliza un proveedor de servicios en la nube como Amazon o Google. Costaría alrededor de 150 dólares realizar el ataque completo de un millón de códigos “, escribió. En términos generales, las técnicas de fuerza bruta también se asocian con botnets .

En conclusión, además de usar una contraseña segura y única para acceder (no solo) a su cuenta de Instagram, siempre es mejor confiar en un factor de autenticación adicional, y la plataforma recientemente  amplió sus opciones de autenticación de dos factores . El mes pasado, el sitio también anunció la prueba de un nuevo proceso en la aplicación para que los usuarios recuperen el acceso a las cuentas que han sido superadas por los ciberdelincuentes  

 

Fuente: www.welivesecurity.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

WhatsApp SERVINCOL & CIA SAS