top of page

Descoberta falha grave no Instagram que permitia o takeover de qualquer conta em 10 minutos


Esta falha não exigia qualquer tipo de interação por parte do utilizador.

A falha residia no mecanismo de reset da password implementado pela empresa para a versão mobile. Assim que os utilizadores faziam um pedido para recuperar a sua password, tinham de confirmar um código de seis dígitos (que expira passados 10 minutos) enviado ao número de telemóvel ou email associados. Desta forma, para mudar a password, o atacante precisaria de tentar um milhão de combinações possíveis.

Os investigadores descobriram que se podia testar o maior número de pedidos sem que a pessoa fosse para a "lista negra", mesmo que atingisse o número máximo de pedidos que podia enviar numa determinada fracção de tempo.

De forma a ultrapassar o mecanismo do limite, descobriram-se também duas formas: uma race condition e uma rotação de IP. Uma rotação de IP, porque podia-se enviar os pedidos a partir de diversos endereços IP, e aproveitando-se da race condition podiam-se enviar diversos pedidos em simultâneo.

Fonte: https://www.securityweek.com/instagram-account-takeover-vulnerability-earns-hacker-30000

POSTS RECENTES:
PROCURE POR TAGS:
bottom of page