Fallo de seguridad en Instagram permitía el robo de cuentas al solicitar recuperar la contraseña

La red social dedicada a la difusión de fotografías e imágenes de Facebook disponía de un importante problema de seguridad. El error de planteamiento en el proceso de recuperación de contraseña permitía el robo de una cuenta de cualquier usuario.

Independientemente de las medidas de seguridad que tomase el usuario afectado podría ver como perdía su cuenta por alguien que conociese su email de registro.

¿En qué consiste el error?

El error se basa en una técnica de ataque bien conocida, el ataque por fuerza bruta. Básicamente, esta técnica consiste en realizar combinaciones continuadas de contraseñas con un mismo usuario hasta que se consigue dar con la correcta.

Para evitar este tipo de ataques, las empresas limitan el número de intentos de prueba a la hora de identificarse llegando, incluso, a bloquear el acceso a la cuenta temporalmente.

Instagram también dispone de esta limitación pero Laxman Muthiyah -el autor de la investigación- ha demostrado que el sistema de seguridad implementado por Instagram no estaba del todo pulido.

El investigador se percató que en el momento de solicitar una recuperación de contraseña -opción para todos los usuarios que olvidan su contraseña- la plataforma generaba un código sólo numérico de 6 dígitos que enviaba al teléfono asociado a la cuenta. Este código se podía emplear para la recuperación durante 10 minutos.

Así mismo, Instagram realiza un bloqueo de intento de solicitudes por número de IP y, utilizando la fuerza bruta desde diferentes IP (empleó unas 5000), consiguió saltarse el bloqueo de seguridad y hacerse con el control de la cuenta.

Este número de direcciones podrían conseguirse utilizando un servicios web como Amazon Web Services, Azure o Google Cloud e, incluso, un ciberdelincuente podría haber infectado un gran número de equipos para crear una botnet y atacar con ella al mismo tiempo.

En la muestra, Laxman consiguió hacerse con el control con unos 200.000 códigos (un 20% de las posibles combinaciones) que, aunque pueda parecer una cantidad muy grande, para un sistema automatizado sería una operación extremadamente rápida y con margen para ejecutarse en esos 10 minutos comentados.

El investigador ha sido premiado por la red social por el programa de búsqueda de errores de Facebook y, actualmente, ya se encuentra reparado.

Os dejamos el vídeo de muestra que publicó el investigador:

 

 

Fuente
¿Quieres ayudarnos?