El popular servicio para compartir fotos, propiedad de Facebook, ha corregido recientemente una vulnerabilidad crítica que podría haber permitido a los ciberdelincuentes comprometer cualquier cuenta de Instagram sin requerir interacción de los usuarios.
A pesar de contar con mecanismos de seguridad avanzados, las plataformas más grandes del momento como Facebook, LinkedIn e Instagram no son completamente inmunes a los ciberataques y durante el transcurso de los años se han revelado vulnerabilidades graves que afectan a estos servicios. Algunas vulnerabilidades han sido parcheadas recientemente, otras, todavía están en proceso de ser parcheadas.
Hace unos días se descubrió una nueva vulnerabilidad crítica en Instagram que podría haber permitido a un atacante remoto restablecer la contraseña de cualquier cuenta de Instagram y tomar control completo sobre ella. El "restablecimiento de contraseña" o "recuperación de contraseña" es una función que permite a los usuarios recuperar el acceso a su cuenta en un sitio web en caso de que hayan olvidado su contraseña. Para el caso de Instagram, los usuarios deben confirmar un código de acceso de recuperación de seis dígitos (que vence después de 10 minutos), el cual es enviado a su número de teléfono móvil o cuenta de correo electrónico asociado para verificar la identidad del usuario.
Un intento de cada un millón de combinaciones, puede desbloquear una cuenta de Instagram usando un ataque de fuerza bruta solo, pero no es tan simple como parece, porque Instagram tiene habilitado por defecto una característica que limita la velocidad para prevenir tales ataques.
Sin embargo, el experto descubrió que esta limitación de velocidad se puede omitir enviando solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechando la condición de carrera hasta dar con el código respectivo.
Como se muestra en el siguiente PoC, se logra explotar la vulnerabilidad con éxito robando una cuenta de Instagram al realizar unas 200.000 combinaciones con diferentes códigos de acceso sin bloquear el proceso.
Para proteger sus cuentas contra varios tipos de ataques en línea, se recomienda a los usuarios que habiliten la "autenticación de dos factores", lo que podría impedir que los ciberdelincuentes accedan a las cuentas añadiendo una doble capa de seguridad.
REFERENCIA
COMENTARIOS