Por Redação O Sul | 16 de julho de 2019
Uma falha de segurança no Instagram poderia ter dado acesso indevido a qualquer conta da rede social. A brecha, presente no sistema de redefinição de senhas, permitia que uma pessoa mal intencionada alterasse as informações de acesso de uma vítima mesmo sem ter um código de verificação em mãos.
A vulnerabilidade foi descoberta pelo pesquisador de segurança Laxman Muthiyah, que já apareceu por aqui: é o mesmo que reportou uma brecha que permitia excluir álbuns de fotos de qualquer pessoa no Facebook. Muthiyah seguiu novamente o protocolo e descreveu a falha de maneira responsável para a rede social – que já consertou o problema.
A ideia é simples: quando você clica no link “Esqueci minha senha” no Instagram, a rede social envia um código de verificação por e-mail ou mensagem de texto para se certificar de que você é mesmo o dono da conta. O código de verificação tem seis dígitos, o que significa que há 1 milhão de combinações possíveis. E se fosse possível tentar cada número da forma mais rápida possível, de 000000 a 999999, utilizando força bruta?
Muthiyah fez o teste e descobriu que o Instagram bloqueava as tentativas automatizadas de redefinição de senha após cerca de 200 adivinhações. A questão é que esse bloqueio era aplicado por IP – se ele mudasse de IP, seria possível fazer mais 200 tentativas.
Então era fácil: bastava ter milhares de IPs diferentes em mãos para fazer centenas de milhares de tentativas em menos de 10 minutos, que é o tempo de validade de um código de verificação. Na teoria, com 5 mil computadores, cada um fazendo 200 tentativas, seria possível abranger todas as combinações possíveis. Na prática, Muthiyah realmente fez o teste, utilizando mil IPs diferentes para fazer 200 mil tentativas.
Isso parece muito fora da realidade, mas não é tão difícil controlar 5 mil computadores hoje em dia – especialmente com os milhões de equipamentos zumbis espalhados pela internet, como PCs desatualizados e câmeras de segurança vulneráveis. E, de acordo com Muthiyah, se você utilizasse o serviço de nuvem da Amazon ou do Google para fazer o ataque, isso custaria cerca de US$ 150. O Facebook corrigiu a falha e, como recompensa, pagou US$ 30 mil ao pesquisador.
Invasão
Parece não haver sentido em roubar contas do Instagram. Não importa a quantidade de seguidores ou a popularidade dos seus posts. Certamente, você já ouviu falar de um amigo que teve o seu perfil do Instagram invadido/roubado e não conseguiu reverter.
A Symantec, fabricante do Norton antivírus, tem uma boa explicação. De acordo com a empresa, as contas do Instagram são alteradas para promover sites adultos. Golpistas publicam fotos de garotas sensuais para atrair vítimas com spam pornográfico.
O problema é bastante similar ao que acontece no Twitter. As contas são invadidas para postar links para sites de relacionamento adulto e conteúdo sexual. Os perfis hackeados sofrem várias modificações logo nos primeiros minutos da invasão.
