Un analista de seguridad ha descubierto una vulnerabilidad en Proceso de recuperación de la cuenta de Instagram lo que le dio acceso a una cuenta de prueba.
ΈUn analista de seguridad ha encontrado un error en el proceso de recuperación de la cuenta de Instagram que puede haber puesto en riesgo muchas cuentas.
El analista Laxman Muthiyah descubrió el error mientras investigaba cómo la aplicación le permite recuperar el acceso a su cuenta después de haber olvidado la contraseña. Para la autenticación, Instagram envía un número aleatorio de seis dígitos por SMS al teléfono del usuario, que le da acceso a la cuenta.
El investigador se preguntó si se podría utilizar la técnica "la fuerza bruta”Para evitar el sistema. En este método, se ingresan miles de combinaciones aleatorias hasta que se encuentra la correcta. En este caso el truco funcionó, pero hay circunstancias específicas que hacen que todo el proceso sea bastante complicado.
Más específicamente, Instagram tiene restricciones para ingresar estos códigos. Por lo tanto, tiene un límite de 250 intentos por dirección IP dentro del marco de tiempo de diez minutos.
Para adivinar un código de seis dígitos, debes probar alrededor de un millón de combinaciones diferentes. Este número es suficiente para mantener el sistema a salvo de un simple usuario. Sin embargo, Mutiyah encontró una forma de automatizar el proceso. Al escribir un programa, se pudieron importar grandes volúmenes de combinaciones aleatorias de una lista de diferentes direcciones IP.
Muthiyah subió un video del ataque que lo muestra enviando 200.000 combinaciones diferentes tratando de romper una cuenta de prueba. "En un ataque real, el atacante necesitará unas 5.000 direcciones IP para romper la cuenta. Puede parecer un gran número, pero en realidad no es difícil. Si usa un servicio en la nube de Amazon o Google, le costará alrededor de $ 150 realizar un ataque completo de un millón de contraseñas ". Dijo en un relato Blog.
La buena noticia es que Instagram ha solucionado el problema. Mythiyah le dijo a PCMag que la aplicación ahora bloquea la cantidad de contraseñas que un usuario puede ingresar independientemente de su dirección IP.
En un correo electrónico, Instagram le dijo a PCMag: "Hemos solucionado el problema y no hemos encontrado ningún exploit. Agradecemos al analista que ayudó a identificar el problema ". Facebook, propietaria de Instagram, tiene un programa que recompensa la búsqueda de errores a través de Bugcrowd, que donó 30.000 dólares a Muthiyah por su descubrimiento.
[the_ad_group id = ”966 ″]ΜNo olvide unirse (registrarse) en nuestro foro, lo cual se puede hacer muy fácilmente con el siguiente botón ...
(Si ya tiene una cuenta en nuestro foro, no necesita seguir el enlace de registro)
¡Síguenos en Telegram!
