Como hackean cualquier cuenta de Instagram en menos de 10 minutos
Instagram está creciendo rápidamente, al punto de ser la red social más popular del mundo después de Facebook, la red para compartir fotos domina absolutamente cuando se trata de la comunicación la interacción del usuario.
A pesar de contar con mecanismos de seguridad avanzados, las plataformas más grandes como Facebook, Google, LinkedIn e Instagram no son completamente inmunes a los hackers y contienen vulnerabilidades graves.
Vulnerabilidad
Algunas vulnerabilidades han sido parchadas recientemente, otras todavía están en proceso de ser solucionadas, y muchas otras probablemente existen, pero aún no se han encontrado.
Los detalles de una de estas vulnerabilidades críticas en Instagram surgieron esta semana en Internet; Estas permiten a un atacante remoto restablecer la contraseña de cualquier cuenta de Instagram y tomar el control completo sobre ella.
Descubierta y reportada responsablemente por el cazador de recompensas de fallas indio Laxman Muthiyah, la vulnerabilidad residía en el mecanismo de recuperación de contraseña implementado por la versión móvil de Instagram.
El “restablecimiento de contraseña” o “recuperación de contraseña” es una función que permite a los usuarios recuperar el acceso a su cuenta en un sitio web en caso de que hayan olvidado su contraseña.
En este video te muestro como se explota esa vulnerabilidad:
En Instagram, los usuarios deben confirmar un código de acceso secreto de seis dígitos (que caduca después de 10 minutos), enviado a su número de teléfono móvil o cuenta de correo electrónico asociado a esta para probar su identidad.
Eso significa que una de cada millón de combinaciones puede desbloquear cualquier cuenta de Instagram usando un ataque de fuerza bruta, pero no es tan simple como parece, porque Instagram tiene habilitada la limitación de intentos para prevenir tales ataques.
Demostración
Sin embargo, Laxman descubrió que esta limitación de intentos se puede omitir enviando solicitudes de fuerza bruta desde diferentes direcciones IP y así aprovechar la vulnerabilidad, enviando solicitudes al mismo tiempo para procesar múltiples intentos simultáneamente.
“Las solicitudes recurrentes y la rotación de IP me permitieron evadirlo. De lo contrario, no sería posible. El tiempo de vencimiento de 10 minutos es la clave de su mecanismo de limitación de intentos, por eso no impusieron el bloqueo permanente de códigos, ” afirmó Laxman
Como se ve en el video anterior, Laxman demostró con éxito la vulnerabilidad de secuestrar una cuenta de Instagram al intentar rápidamente 200,000 combinaciones diferentes de códigos de acceso (20% de todos) sin ser bloqueado.
“En un escenario de ataque real, el atacante necesita 5000 IP para hackear una cuenta. Se oye bastante, pero en realidad es fácil si usas un proveedor de servicios en la nube como Amazon o Google. Costaría alrededor de 150 dólares realizar el ataque completo de uno en millones de códigos “.
Laxman también lanzó un exploit de prueba de concepto para la vulnerabilidad, que ahora ha sido parcheado por Instagram, y la compañía otorgó a Laxman una recompensa de $30,000.00 dolares como parte de su programa de recompensas por errores
Para proteger tus cuentas contra varios tipos de ataques en línea, así como para reducir tus posibilidades de verte comprometido donde los atacantes se dirigen directamente a las aplicaciones vulnerables, se recomienda a los usuarios que habiliten la “autenticación de dos factores”, lo que podría impedir que los ciberdelincuentes accedan a tus cuentas, incluso si de alguna manera se las arreglan para robar tus contraseñas.
