Al igual que otras aplicaciones, Instagram ha presentado vulnerabilidades que han afectado el funcionamiento de su plataforma durante los últimos días, una de ellas está relacionada con el “mecanismo de recuperación de contraseñas”.
Un investigador de software, Laxman Muthiyah, descubrió una vulnerabilidad en ese mecanismo. Después de notificar a la compañía el error y que se solventara la falla, él reveló qué fue exactamente lo que ocurrió.
Conozcamos los detalles de este descubrimiento a continuación:
Lee también: Instagram navegador: ¿qué se puede hacer en esta versión?
¿Cuál era la falla en el mecanismo de recuperación de contraseña de Instagram?
El error que descubrió Laxman Muthiyah ocasionaba que las personas pudieran acceder a cuentas de otros sin que existiera una interacción entre los dueños de las cuentas e Instagram. De esa manera, la persona podía acceder y controlar una cuenta que no le pertenecía.
El investigador descubrió que la situación se presentaba justo cuando se solicitaba una nueva contraseña. Recordemos que con esa opción el usuario recibe un código secreto de Instagram de seis dígitos, los cuales son enviados al correo o al número de teléfono asociados a la cuenta para validar la identidad del usuario antes de generar la nueva contraseña.
Dicho código caduca a los 10 minutos, y de no recibirlo la persona debe hacer una nueva solicitud. Muthiyah quiso saber qué pasaría si en ese lapso de tiempo se probaba no una sino millones de combinaciones con seis dígitos diferentes. Además, concluyó que la red social puede procesar todas las peticiones si se realizan simultáneamente desde diferentes direcciones IP.
En los diez minutos, el investigador probó con unas 5 mil direcciones IP e introdujo unas 200 mil combinaciones de contraseñas.
La tarea parece complicada, pero él afirmó que se puede atacar fácilmente con un “proveedor de servicios”. Algunos de ellos pueden ser la nube de Google o la de Amazon. Dijo que “costaría poco más de 150 dólares llevar el ataque completo de un millón de códigos distintos”.
El motivo por el que se llevó el reconocimiento de Instagram fue porque Muthiyah se comunicó primero con la compañía antes de hacer pública la vulnerabilidad. El monto que recibió el investigador por el descubrimiento fue de 30 mil dólares.
Cabe destacar, que la falla ha sido solventada, por lo que los hackers que intenten utilizar a su favor la vulnerabilidad no tendrán éxito.
