• Mié. Ene 26th, 2022

Astra Coin

Empresa de Ciberseguridad, mantenimiento de paginas web, análisis forense, llama para más información

La vulnerabilidad en Instagram permitió hackear cualquier cuenta en 10 minutos.

PorAndresTorres

Jul 16, 2019

La explotación de la vulnerabilidad le permitió restablecer la contraseña de cualquier cuenta de Instagram y obtener un control total sobre ella.

El investigador de seguridad Laxman Muthiyahinformóuna vulnerabilidad peligrosa en la aplicación móvil de Instagram. La explotación de la vulnerabilidad le permitió restablecer la contraseña de cualquier cuenta de Instagram y obtener un control total sobre ella.

«Restablecimiento de contraseña» o «Recuperación de contraseña» es una función que permite a los usuarios restaurar el acceso a su cuenta en un sitio web si han olvidado su contraseña. En Instagram, los usuarios deben confirmar un código secreto de seis dígitos (que vence después de 10 minutos), enviado al número de teléfono móvil o la dirección de correo electrónico correspondiente para verificar su identidad.

Con el ataque de fuerza bruta, puedes desbloquear cualquier cuenta de Instagram usando una de las millones de combinaciones posibles, pero Instagram tiene un límite de velocidad para evitar tales ataques. Mutia encontró una manera de eludir la restricción enviando solicitudes de fuerza bruta desde diferentes direcciones IP y, utilizando la condición de carrera, envía solicitudes subsiguientes para procesar múltiples intentos de inicio de sesión.

En una situación real, un atacante necesita 5,000 direcciones IP para abrir una cuenta. A primera vista, esta es una tarea difícil, pero fácil de hacer si se utilizan servicios en la nube como Amazon o Google. El ataque completo costará alrededor de $ 150, explicó el experto.

Mutia ha publicado un exploit de vulnerabilidad para esta vulnerabilidad. Para obtener información sobre ella, la compañía pagó al investigador una cantidad de $ 30,000 como parte de un programa de recompensa por las vulnerabilidades encontradas.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.