Fallas permitieron a hackers hacer fuerza bruta a cuentas de Instagram

Share this…

Fallas de seguridad permitieron a hackers hacer fuerza bruta contra las cuentas de Instagram

Instagram-es-hackeado

Un investigador recibió una recompensa de $ 5,000 de Facebook después de encontrar dos vulnerabilidades que podrían haber permitido a los piratas informáticos sacar contraseñas de cuentas de Instagram por el uso de fuerza bruta.

Ciudadano Belga  caza recompensas de errores bug llamado Arne Swinnen descubrió que los actores maliciosos podrían lanzar ataques de fuerza bruta contra las cuentas de Instagram a través de la aplicación oficial de Android ya través de la página de registro en instagram.com.

La primera vulnerabilidad, que Swinnen informó a Facebook a finales de diciembre, podría haber sido explotado y realizar ataques de fuerza bruta contra el dominio de autenticación utilizado por la aplicación Instagram para Android.

El investigador encontró que el sistema de autenticación permitido 1.000 conjeturas a partir de una dirección IP antes de mostrar un mensaje de que no existe el nombre de usuario. Sin embargo, este mensaje sólo se mostrará hasta que el intento número 2.000, y desde allí en el sistema comenzó a proporcionar una respuesta fiable.

De acuerdo con Swinnen, un atacante podría haber creado un script que simplemente repita las respuestas poco fiables hasta que se obtenga una respuesta fiable. El experto desarrolló un guión que probó 10.001 contraseñas contra una cuenta de prueba.

Por otra parte, la prueba mostró que un atacante podría haber iniciado sesión en la cuenta comprometida desde la misma dirección IP que se utilizó para ataque de fuerza bruta , lo que indica que los controles de seguridad diseñadas para proteger contra las cuentas de los inicios de sesión no autorizados no habían estado en el lugar.

La segunda vulnerabilidad, reportada por Swinnen en febrero, afectó a la página de registro de la página web de Instagram.

El investigador ha registrado una cuenta de prueba y capturó la solicitud enviada durante el registro de los servidores de Instagram. Cuando se repite la misma petición exacta, recibió una respuesta que contiene el mensaje “Esas credenciales pertenecen a una cuenta de Instagram activa”.

Dado que no había límite de envío en su lugar, un atacante podría crear una secuencia de comandos que envía peticiones con diferentes contraseñas para un nombre de usuario de destino. Si la respuesta ha devuelto un estado “a prueba”, la contraseña era incorrecta, pero si la respuesta contiene el mensaje que indica que las credenciales pertenecían a una cuenta activa, la contraseña es correcta.

Facebook se dirigió a ambas cuestiones al limitar el número de intentos de conexión. El investigador dijo que la compañía también hizo algunas ligeras mejoras en su política de contraseñas para evitar que los usuarios configuren contraseñas como “contraseña” y “123456”

El gigante de las redes sociales galardonado al investigador con una recompensa combinando de $ 5,000 por las dos vulnerabilidades.

Swinnen señaló que los ataques de fuerza bruta contra las cuentas de Instagram plantean una grave amenaza a más de 400 millones de usuarios del servicio teniendo en cuenta que la autenticación de dos factores (2FA) sólo está implementando políticas de contraseñas bastante débiles, no hay controles de seguridad en su sitio , y nombres de usuario que se puedan enumerar fácilmente.

Swinnen no es el único cazador de recompensas de errores que ha encontrado vulnerabilidades graves en Instagram. Hace unas semanas, un niño de 10 años de edad, de Finlandia obtuvo $ 10.000 de Facebook después de descubrir un defecto que permite que cualquiera pueda eliminar fácilmente los comentarios en Instagram.

Fuente:https://www.enhacke.com/