La última falla que alertó a Instagram

¿Qué tanto proteges tus contraseñas en tus cuentas de redes sociales?, puede ponerte en riesgo

Tu red social Instagram pudo haber sido secuestrada por una amenaza de vulnerabilidad en Instagram, sin embargo, la falla fue detectada a tiempo, reporta ESET, compañía líder en detección proactiva de amenazas.

La operación consistía en secuestrar la cuenta sin necesidad de interacción por parte de los propietarios de las mismas.

> La música llega a Instagram Stories

De acuerdo con el investigador de seguridad Laxman Muthiyah se encontró el hallazgo luego de que Facebook aumentara los montos de las recompensas de su programa bug bounty.

ASÍ SE VULNERABA TU CUENTA DE INSTAGRAM

El fallo consistía en el mecanismo de recuperación de contraseñas de la versión móvil de Instagram.

> Nuevamente se caen Facebook e Instagram a nivel mundial

Si un usuario de Instagram que se olvide de su contraseña y decide rastrearla,  debe demostrar su identidad confirmando la recepción de un código a través de un mensaje SMS al número telefónico asociado, luego deberá ser ingresado por el usuario para poder cambiar su contraseña.

A pesar de que el sistema permite un número máximo de intentos, puede evadirse desde diferentes direcciones IP y aprovechándose también de lo que se conoce como condición de carrera (en inglés race hazard o race condition).

Fue así que Laxman envió simultáneamente muchas combinaciones sin tener problemas de límite. De esta manera, logró secuestrar una cuenta de Instagram al enviar 200.000 combinaciones de códigos diferentes y utilizando una gran cantidad de IP diferentes.

> Facebook tendrá su propia moneda y hasta su propia cartera

Hasta el momento se sabe que la vulnerabilidad ya fue parcheada. La agencia ESET nuevamente dio sus recomendaciones al respecto, pues como usuarios se debe reforzar la seguridad, ya sea mediante el uso del doble factor de autenticación, utilizando contraseñas únicas por servicio o mediante otras acciones, compartió Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El reporte de la falla le significó al analista una recompensa de 30.000 dólares.

Cargando