Um hacker recebeu US$ 30 mil (pouco mais de R$ 112 mil) como recompensa por descobrir uma falha de segurança no Instagram e informar o aplicativo sobre o problema. O programador indiano Laxman Muthiyah encontrou uma vulnerabilidade que lhe permitia invadir qualquer conta da rede social por meio do sistema de recuperação de senhas. Em um artigo no blog The Zero Hack, ele diz que “poderia entrar em qualquer conta do Instagram se quisesse”. O Instagram confirmou a vulnerabilidade e já corrigiu a falha no aplicativo.
O valor recebido por Laxman Muthiyah é proveniente de um fundo Facebook que dá prêmios para hackers que desvendam brechas em um dos apps da empresa e ajudam o time de segurança a criar uma correção antes que criminosos possam explorá-la em golpes na Internet.
A falha estava no sistema de recuperação de senhas do Instagram no celular. Ao pedir para restaurar uma senha, o aplicativo envia um código via SMS como meio de autenticar o usuário. O bug que permitia a invasão está presente nesse recurso: o hacker conseguiu encontrar uma forma de testar milhares de combinações até descobrir a chave correta e liberar a redefinição de senha.
O segredo está na uma fraqueza do Instagram para bloquear um ataque de força bruta. A rede social usava um mecanismo que impedia de testar muitos códigos em um intervalo curto. No entanto, o hacker conseguiu driblar o bloqueio usando vários IPs ao mesmo tempo – o aplicativo não conseguia distinguir de que se tratava do mesmo hacker e acabava não aplicando as limitações de tentativas.
Segundo o hacker, foram precisos mil IPs para disparar todas as requisições aos servidores ao mesmo tempo e conseguir testar o máximo número possível de códigos. Feito isso, ele poderia resetar a senha e invadir qualque
Como saber quem me hackeou no Instagram? Veja dicas no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Pesquisadores criam aparelho que monitora consumo de energia em casa
- Conheça dez dispositivos que vão tornar as suas viagens mais divertidas
- Chaos perde para Vici Gaming e sai do Chongqing Major 2019 de DotA 2
- Dragon Age Inquisition: como ganhar experiência rápido no game
- Easter egg no Google Maps adiciona dragão como opção de transporte; veja
- Sherlock Holmes e Borderlands são jogos grátis do Xbox em março
- Headset Razer: conheça os principais modelos vendidos no Brasil
- Dragon Ball Z Kakarot: veja requisitos mínimos para PC e novo trailer
- Skylake: conheça todas as diferentes linhas dos novos processadores da Intel
- Free Fire no Brasil: curiosidades sobre o competitivo do Battle Royale
- Windows vs Linux: compare os recursos dos sistemas para PC em 2020
- Taichi Panda lança comercial com luta entre Ronda Rousey e um panda
- Battlefield Hardline ser? como um seriado interativo, diz produtor
- A vida antes do WhatsApp: relembre os mensageiros que fizeram sucesso
- Hacktudo: festival de cultura digital tem hackathon para estudantes
- Amácio Mazzaropi: Doodle do Google homenageia 109º aniversário de ator
- Dicas para jogar Pokémon Red, Blue e Yellow no Nintendo 3DS
- WannaCry: hackers que criaram ransomware tentam reviver ataque
- Novo Mac Pro pode ser lançado em breve, diz site
- Como adicionar uma mensagem na tela de bloqueio do Moto C Plus