Vulnerabilidade no Instagram permitia sequestrar contas dos usuários

ESET analisa a falha que explorou um erro na função da recuperação de senha da rede social na versão mobile

A ESET, empresa líder em detecção proativas de ameaças, analisa a descoberta de uma vulnerabilidade no Instagram que permitiu a um invasor sequestrar remotamente qualquer conta sem a necessidade da autorização do usuário.

A falha estava no mecanismo de recuperação de senhas da versão mobile do Instagram. Ele permite que os usuários recuperem o acesso às suas contas, em caso de esquecimento.

Nesse sentido, o usuário que decidir redefini-las deve provar sua identidade, confirmando por meio do recebimento de um código de seis dígitos que chegará por uma mensagem SMS, ao número de telefone associado. Esse código, expira após 10 minutos e deve ser digitado pelo usuário para alterar sua senha.

O pesquisador de segurança que relatou a descoberta testou um grande número de combinações possíveis para a vulnerabilidade.

Enquanto o sistema permite um número máximo de tentativas, este limite de tempo pode ser evitado por meio de ataques de força bruta – no qual tentam-se várias combinações de nomes de usuário e senhas repetidas vezes até conseguir fazer um acesso – de endereços IP diferentes.

Outra forma de burlar o Instagram foi por meio de condição de corrido (do inglês, race condition), que é uma falha em que vários processos entram em conflito pelo mesmo recurso na programação do sistema.

Dessa forma, o pesquisador conseguiu roubar uma conta no Instagram ao enviar 200.000 combinações de códigos e um grande número de IPs diferentes. A falha já foi corrigida.

“Esses casos servem como um exemplo para demonstrar que até mesmo grandes plataformas e serviços são vulneráveis a possíveis ataques e/ou falhas de segurança. Por isso é importante que não deixemos a segurança nas mãos daqueles que fornecem os serviços que nós usamos. É importante que, nós como usuários, façamos a nossa parte para reforçar a segurança, seja por meio do uso do duplo fator de autenticação, usando senhas exclusivas por serviço e também realizando outras ações que reforcem a internet segura”, diz Camilo Gutierrez, Chefe do Laboratório de Pesquisa da ESET América Latina.

Sobre a ESET

Desde a 1987, a ESET desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a usar tecnologia com segurança.

Seu portfólio de soluções oferece às empresas e aos consumidores em todo o mundo um equilíbrio perfeito de desempenho e proteção proativa.

A empresa possui uma rede global de vendas que abrange 180 países e tem escritórios em Bratislava, São Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite o site da ESET ou nos siga no LinkedIn, Facebook e Twitter.

Desde 2004, a ESET opera na América Latina, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e descoberta proativa de várias ameaças virtuais.

ESET descobre Amavaldo: Trojan bancário destinado ao Brasil e ao México

ESET analisa sequestro de contas WhatsApp por meio do QR Code