Falla en Instagram permitía el secuestro de cuentas

Falla en Instagram permitía el secuestro de cuentas

Investigador recibió recompensa de más de 30.000 dólares por encontrar error en el sistema.

Errores hoja de vida

El sistema de recuperación de contraseñas era vulnerable a un tipo de ataque que simula combinaciones de contraseñas desde distintas IP.

Foto:

iStock

Por: REDACCIÓN TECNÓSFERA
15 de julio 2019 , 04:54 p.m.

Una falla en la popular red social Instagram permitía que cibedelincuentes explotaran un error en el mecanismo de recuperación de contraseñas y secuestraran la cuenta de un usuario.

El fallo, que ya fue solucionado, afectaba a la versión móvil de la app y permitía que atacantes suplantaran la identidad de los dueños de una cuenta y accedieran al perfil sin que la víctima lo notara. 

De acuerdo con un reporte del investigador de seguridad Laxman Muthiyah el hallazgo de una vulnerabilidad en Instagram le permitiría a un ciberdelincuente ingresar a una cuenta de forma remota. 

El sistema de recuperación de contraseñas de Instagram opera cada vez que un usuario olvida su contraseña. En dicha opción, el usuario recibe un código de seis caracteres vía SMS al número telefónico asociado. El código, que expira pasados ​​10 minutos, debe ser ingresado por el usuario para poder cambiar su contraseña.

Según reportó la firma de ciberseguridad ESET, Muthiyah encontró que al realizar un ataque coordinado e ingresar una gran cantidad de respuestas posibles evadiendo el límite de tiempo, con procedimientos como "solicitudes de la fuerza en las direcciones IP", le permitieron al investigador lanzar una gran cantidad de solicitudes y esquivar los límites. 

Según comentó el investigador, para demostrar el error, usando ese método logró secuestrar una cuenta de Instagram al enviar 200.000 combinaciones de códigos y direcciones IP diferentes.

Si bien el error ya fue resuelto, la denuncia de la falla le significó al analista una recompensa de 30.000 dólares, como parte del programa de recompensas de Facebook a quienes encuentran errores, vulnerabilidades y otros fallos. 

REDACCIÓN TECNÓSFERA
@TecnosferaET

Descarga la app El Tiempo. Con ella puedes escoger los temas de tu interés y recibir notificaciones de las últimas noticias. Conócela acá

Empodera tu conocimiento

Sal de la rutina

Sigue bajando para encontrar más contenido

CREA UNA CUENTA


¿Ya tienes cuenta? INGRESA

Llegaste al límite de contenidos del mes

Disfruta al máximo el contenido de EL TIEMPO DIGITAL de forma ilimitada. ¡Suscríbete ya!

Si ya eres suscriptor del impreso

actívate

* COP $900 / mes durante los dos primeros meses

Sabemos que te gusta estar siempre informado.

Crea una cuenta y podrás disfrutar de:

  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta y podrás disfrutar nuestro contenido desde cualquier dispositivo.