Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Deutsch Español Français Italiano Português 日本語 汉语 漢語
Computer Security Falha grave do Instagram 2FA remendada

Falha grave do Instagram 2FA remendada

Por CagedTech em Computer Security
Traduzir Para:
Português

instagram 2fa lacuna correção O Facebook tem um programa de recompensas de bugs que permite que pesquisadores independentes reportem falhas de segurança por quase uma década. Apenas recentemente, um problema muito sério relacionado à segurança da conta do Instagram foi corrigido depois que um pesquisador conseguiu encontrar uma maneira de forçar mais ou menos qualquer conta do Instagram e obter controle sobre ela.

O achado rendeu a Laxman Muthiyah um prêmio de US $ 30 mil. A gravidade da questão que ele descobriu mais do que justifica essa soma. Muthiyah descobriu uma fraqueza no procedimento de autenticação de dois fatores que depende de um código enviado ao celular do usuário. O Instagram gera um código de seis dígitos que Muthiyah decidiu usar como força bruta, mas descobriu que haveria cerca de um milhão de combinações. O único problema era a janela de tempo limitada em que o código de seis dígitos gerado aleatoriamente estava ativo - o Instagram mantém o código válido por apenas dez minutos.

Instagram 2FA work-arounds explorado

Para contornar o problema da força bruta e alimentar um milhão de tentativas nesse curto espaço de tempo, o Instagram tinha um limite nas tentativas feitas dentro de uma janela de tempo, mas isso cobria apenas um único endereço IP. Muthiyah apontou como os maus atores interessados em hackear uma conta ou abusariam de um grande número de contas na nuvem legitimamente oferecidas por serviços como a Amazon ou o Google, ou recorreria a uma rede pré-estabelecida de sistemas hackeados, como é o caso de a maioria das botnets.

O ataque que Muthiyah conseguiu montar usou uma configuração de US $ 150 de contas na nuvem e foi gravado em vídeo para a equipe de segurança do Instagram / Facebook, que desde então abordou a questão.

Esse tipo de vetor de ataque não é a única maneira encontrada pelos hackers para burlar a autenticação de dois fatores. Houve casos de maus atores redirecionando a vítima para uma falsa página de códigos 2FA, pegando o código digitado lá e então usando-a para ganhar o controle da conta em questão.

Carregando...