Un ricercatore ha segnalato una vulnerabilità critica che consente a cybercriminali di hackerare un account Instagram e assumerene il pieno controllo in 10 minuti.
Questo è uno dei casi di Bug Bounty (Cybertrends ve ne aveva già parlato in questo articolo https://www.cybertrends.it/i-migliori-bug-bounty-del-mondo-dellinformatica-numeri-e-statistiche)
Questo tipo di vulnerabilità consente ad un hacker di ottenere di ottenere una One Time Password (OTP) e in 10 minuti assumere il pieno controllo del profilo account.
Il ricercatore indiano Laxman ha cercato di studiare a fondo questa vulnerabilità di Instagram prima da Pc, poi da mobile. Il primo tentativo è stato condotto attraverso l’interfaccia web e reimpostando la password sull’account Instagram scelto. Instagram ha però implementato un meccanismo di reimpostazione “strong” delle password basato su una procedura e un link non proprio facile da bypassare.
Laxaman ha poi provato il secondo metodo di reimpostazione dall’interfaccia mobile che richiede di inserire il numero di cellulare degli utenti per inviare il codice a 6 cifre (OTP) per reimpostare la password. Quando gli utenti richiedono l’OTP a 6 cifre, il sistema genera in modo casuale il codice di accesso da una combinazione di un milione di codici e lo invia agli utenti che ne hanno fatto richiesta e che dovrà essere entro 10 minuti. Al termine dei 10 minuti infatti il codice non sarà più valido e se ne dovrà chiedere un altro.
Per assumere il controllo dell’account Instagram, quindi modificare e reimpostare la password di qualsiasi utente, bisognerebbe provare attraverso attacchi brute force tutte le milioni di combinazioni passcode generabili. Instagram però limita tali richieste automatizzate. Per verificare l’effettiva efficienza del filtro di sicurezza, Laxman ha inviato circa 1000 richieste, 250 delle quali sono state esaminate e le restanti 750 richieste limitate. “Dopo alcuni giorni di continui test , ho trovato due cose che m hanno permesso di bypassare il loro meccanismo di limitazione.“
- Race Hazard
- IP rotation
Il team di cybersecurity di Facebook e Instagram ha premiato il ricercatore con $ 30.000 come ricompensa per aver scovato una importante vulnerabilità di instagram. Tali attività e cioè offrire ad esterni ricompense per scoprire vulnerabilità sui propri prodotti, sono portate avanti da moltissime aziende e prendono il nome di Big Bounty.
Ecco le specifiche della ricerca. LINK
Riportiamo per dovere di cronca il video esplicativo di Laxaman. Ovviamente si scoraggia l’utilizzo di tali tecniche.