Um hacker recebeu US$ 30 mil (pouco mais de R$ 112 mil) como recompensa por descobrir uma falha de segurança no Instagram e informar o aplicativo sobre o problema. O programador indiano Laxman Muthiyah encontrou uma vulnerabilidade que lhe permitia invadir qualquer conta da rede social por meio do sistema de recuperação de senhas. Em um artigo no blog The Zero Hack, ele diz que “poderia entrar em qualquer conta do Instagram se quisesse”. O Instagram confirmou a vulnerabilidade e já corrigiu a falha no aplicativo.
O valor recebido por Laxman Muthiyah é proveniente de um fundo Facebook que dá prêmios para hackers que desvendam brechas em um dos apps da empresa e ajudam o time de segurança a criar uma correção antes que criminosos possam explorá-la em golpes na Internet.
A falha estava no sistema de recuperação de senhas do Instagram no celular. Ao pedir para restaurar uma senha, o aplicativo envia um código via SMS como meio de autenticar o usuário. O bug que permitia a invasão está presente nesse recurso: o hacker conseguiu encontrar uma forma de testar milhares de combinações até descobrir a chave correta e liberar a redefinição de senha.
O segredo está na uma fraqueza do Instagram para bloquear um ataque de força bruta. A rede social usava um mecanismo que impedia de testar muitos códigos em um intervalo curto. No entanto, o hacker conseguiu driblar o bloqueio usando vários IPs ao mesmo tempo – o aplicativo não conseguia distinguir de que se tratava do mesmo hacker e acabava não aplicando as limitações de tentativas.
Segundo o hacker, foram precisos mil IPs para disparar todas as requisições aos servidores ao mesmo tempo e conseguir testar o máximo número possível de códigos. Feito isso, ele poderia resetar a senha e invadir qualque
Como saber quem me hackeou no Instagram? Veja dicas no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Como deixar de seguir todos no Instagram
- Os melhores apps e jogos para iPhone em 2015; Apple divulga lista
- Google seleciona 12 aplicativos para integrar o Google Fit; conheça
- Legends of Runeterra (LoR) ganha data de lançamento para PC e celular
- CyanogenMod chega ao Android Lollipop com correção para bug ‘crítico’
- Redmi AirDots não sincroniza? Veja como resolver problema no fone Xiaomi
- Três aplicativos sociais que rastreiam sua localização em detalhes; veja
- Novo Nier ? apresentado durante a confer?ncia da Square Enix na E3 2015
- Far Cry 4: veja como fugir da prisão Durgesh usando o gancho
- Como jogar Uno no Telegram
- Como tirar uma página do Facebook do ar sem excluir a fan page
- F1 2015: trailer impressiona nas express?es dos pilotos e nos gr?ficos
- Lélia Gonzalez ganha doodle comemorativo em seu 85º aniversário
- FOREO Luna Mini 2: quatro dicas para descobrir se o aparelho é original
- Ninja Ibuki é revelada em novo trailer de Street Fighter 5
- Apex Legends ganha modo solo no Evento de Coleção da Coroa de Ferro
- Chromebook Pixel 2 pode ser lan?ado pelo Google em breve, diz site
- Street Fighter: lendas disputam torneio em 12 clássicos simultâneos
- Supostas imagens do Windows 10 em smartphone revelam nova interface
- Tudo sobre o Corsair HS50: veja preço e ficha técnica do headset gamer