Computer Security Serio Instagram 2FA escapatoria parcheada

Serio Instagram 2FA escapatoria parcheada

instagram 2fa solución de escapatoria Facebook ha tenido un programa de recompensas de errores que permite a los investigadores independientes reportar fallas de seguridad durante casi una década. Recientemente, se solucionó un problema muy grave relacionado con la seguridad de la cuenta de Instagram después de que un investigador logró encontrar una forma de forzar más o menos cualquier cuenta de Instagram y obtener el control sobre ella.

El hallazgo le valió a Laxman Muthiyah un premio de $ 30 mil. La gravedad del problema que descubrió más que justifica esa suma. Muthiyah descubrió una debilidad en el procedimiento de autenticación de dos factores que se basa en un código enviado al teléfono móvil del usuario. Instagram genera un código de seis dígitos que Muthiyah decidió forzar, pero descubrió que habría alrededor de un millón de combinaciones. El único problema era la ventana de tiempo limitado en la que el código de seis dígitos generado aleatoriamente estaba activo: Instagram mantiene el código válido por solo diez minutos.

Soluciones de Instagram 2FA explotadas

Para evitar el problema de la fuerza bruta y alimentar un millón de intentos en ese corto lapso de tiempo, Instagram tenía un límite en los intentos realizados dentro de una ventana de tiempo, pero eso solo cubría una sola dirección IP. Muthiyah señaló cómo los malos actores interesados en hackear una cuenta estarían abusando de una gran cantidad de cuentas en la nube que legítimamente ofrecen servicios como Amazon o Google, o recurrirían a una red preestablecida de sistemas pirateados, que es el caso de La mayoría de las botnets.

El ataque que Muthiyah logró montar usó una configuración de $ 150 de cuentas en la nube y fue grabado en video para el equipo de seguridad de Instagram / Facebook, que desde entonces ha abordado el problema.

Este tipo de vector de ataque no es la única forma en que los hackers han descubierto que eluden la autenticación de dos factores. Ha habido casos de malos actores que redirigen a la víctima a una página falsa de códigos 2FA, recogen el código ingresado allí y luego lo usan para obtener el control de la cuenta en cuestión.

Cargando...