O Facebook se tornou um especialista em falhar miseravelmente com a segurança dos dados dos seus usuários, e parece que os demais produtos que estão debaixo do guarda-chuva de Mark Zuckerberg podem ter herdado essa péssima característica. Quem pode ter passado por problemas de segurança dessa vez foi o Instagram.
Laxman Muthiyah, investigador de segurança, encontrou uma vulnerabilidade no Instagram quando ficou sabendo que o Facebook aumentou as recompensas do seu programa Bug Bounty, e por encontrar essa falha, ele recebeu US$ 30 mil de recompensa das mãos da gigante das redes sociais.
Mesmo porque não era um problema pequeno.
De acordo com Muthiyah, ele (ou qualquer outro usuário com habilidades boas o suficiente para tal) poderia ter entrado com facilidade em qualquer conta do Instagram que quisesse. Felizmente, só ele sabia disso, e hoje a sua conta está um pouco mais segura (por enquanto).
Como isso era possível?
Muthiyah explicou os detalhes sobre como ele podia vulnerar qualquer conta no Instagram. O que ele fez foi centrar no processo de recuperação de senha da versão móvel da rede social de fotos. Quando alguém se esquecia da senha, ele podia solicitar para a plataforma o envio de uma nova senha. Antes disso, a rede social envia um código de verificação de seis dígitos via SMS para verificar a identidade. Esse código expira depois de 10 minutos.
Porém, 10 minutos era tempo mais que suficiente para entrar à força (literalmente) em qualquer conta. Assim, o expert decidiu utilizar um ataque de força bruta, gerando uma grande quantidade de combinações numéricas. Obviamente, a plataforma se bloqueia automaticamente depois de uma série de tentativas. Por isso, ele decidiu recorrer para vários endereços IP.
Para entrar na conta, ele precisava testar 200 mil combinações possíveis de números. Nesse sentido, ele utilizava pelo menos 5 mil endereços IP trabalhando ao mesmo tempo para concluir a tarefa. Isso era possível com muita facilidade, através de um provedor de serviços na nuvem como a Amazon ou o Google. Por fim, o ataque seria possível através de um investimento de apenas US$ 150.
Moral da história: sua conta do Instagram não está tão segura quanto parece. E só resta agora ficar na torcida para que o Facebook tenha corrigido essa falha de segurança.