Skip to Main Content

Instagram: bastano 10 minuti per violare un account

Molte società informatiche sanno che i loro sistemi hanno dei punti deboli e pertanto offrono ricompense ad hacker che individuano e segnalano loro le vulnerabilità. Tali programmi “Cacciatori di bug”, i cosiddetti bounty hunter, possono rivelarsi molto lucrativi.

L’obiettivo è proprio far sì che gli hacker condividano le vulnerabilità rilevate con l’azienda invece che svenderle nel dark web. Anche Facebook, che ha acquisito Instagram, segue questa politica e ultimamente ha addirittura aumentato l’entità delle ricompense.

Così anche l’esperto e ricercatore di sicurezza informatica indiano Laxman Muthiyah si è messo a cercare vulnerabilità nella procedura di accesso a Instagram. Innanzi tutto ha esaminato la funzione di Instagram “Reimposta password”, tuttavia senza ottenere risultati soddisfacenti. Con questa funzione Instagram invia all’utente un’email con un link per reimpostare la password, quindi riuscire ad accedere all’account non è così semplice.

L’app di Instagram utilizza un codice per reimpostare la password

Attraverso l’app di Instagram è possibile farsi inviare un codice di sei cifre sul telefono o via email. L’utente può accedere al suo account dopo aver inserito il codice e il nome utente nell’app.

In questo modo qualsiasi malintenzionato in possesso del codice e del nome utente potrebbe accedere all’account Instagram. E, in questo caso, al vero titolare verrebbe bloccato l’accesso al proprio account perché la password è stata reimpostata.

Procurarsi il codice via email o dal telefono sarebbe troppo complicato per riuscire a sferrare un attacco, ma Laxman si accorge che può procedere anche senza questi dati. Gli basta infatti provare a inserire tutte le combinazioni possibili, fino a quando non trova quella giusta.

Attacchi brute force con un milione di possibili combinazioni

Per indovinare un codice a sei cifre, il pirata informatico deve provare a inserire tutte le combinazioni di numeri possibili da 0 a 999.999 fino a che non trova quella giusta. Un gioco da ragazzi per programmi automatizzati di violazione di password. Ma il fatto che il codice per reimpostare la password sia valido solo 10 minuti complica la vita all’hacker.

Inoltre i server sono protetti abbastanza bene contro gli attacchi brute force. Facebook ha sicuramente adottato misure preventive e previsto un tale attacco. Laxman decide di fare una prova direttamente sul suo account Instagram.

Inizia con un piccolo tentativo e invia 1000 richieste con diverse combinazioni di codici al suo account Instagram. 250 vanno a buon fine, mentre 750 vengono rifiutate. In un secondo tentativo il numero delle richieste rifiutate è ancora superiore, sembra che Instagram abbia riconosciuto l’attacco.

Gli indirizzi IP non vengono bloccati

Ma a questo punto Laxman si accorge che gli indirizzi IP, da cui origina l’attacco, apparentemente non vengono bloccati. Viene soltanto limitato il numero dei tentativi di accesso per ogni indirizzo IP, ma l’IP stesso non viene bloccato. Ora è chiaro: basterà utilizzare un numero sufficiente di indirizzi IP diversi per inviare le richieste di accesso e l’attacco riuscirà di sicuro.

Più precisamente, per riuscire a violare l’account saranno necessari circa 5000 indirizzi IP. Possono sembrare tanti, ma per host di grandi dimensioni come Amazon o Google queste cifre non sono assolutamente un problema. Per sferrare l’intero attacco con 1 milione di cifre, Laxman ha speso complessivamente 150 dollari.

Dopo aver violato il proprio account, ha inviato un’email con le sue osservazioni a Facebook che ha analizzato il caso, pagato all’hacker 30.000 dollari e quindi colmato la lacuna di sicurezza. Laxman può continuare a cercare ulteriori vulnerabilità e il programma “Cacciatori di bug” garantisce che queste informazioni non finiscano nelle mani sbagliate.

Questo articolo è disponibile anche in: TedescoFranceseSpagnoloPortoghese, Brasile