Muitas empresas de TI têm consciência da vulnerabilidade dos seus sistemas. É por isso que essas empresas oferecem recompensas para hackers que descobrem lacunas e lhes comunicam. Esses programas de caça ao tesouro podem ser muito lucrativos para os especialistas.
Esse é que é o objetivo: os hackers devem comunicar as vulnerabilidades encontradas para a empresa em vez de vendê-las na dark web. O Facebook, a quem pertence o Instagram, também opera essa prática e recentemente até aumentou os valores.
Isso também levou o especialista indiano em TI Laxman Muthiyah a testar o processo de logon do Instagram quanto a vulnerabilidades. Para fazer isso, ele começou pelo recurso “Redefinir senha” da página da Web. Mas sem sucesso. Nesse caso, o Instagram envia um link de redefinição para o endereço de email do usuário. É preciso um passo a mais para conseguir acesso.
O aplicativo móvel do Instagram usa um código de redefinição
No entanto, com o aplicativo móvel Instagram, há uma opção adicional para receber um código numérico de seis dígitos pelo telefone ou email. Se forem fornecidos o código e o nome de usuário no aplicativo, o usuário poderá fazer logon novamente.
Isso também permite que qualquer invasor que conheça o código e o nome de usuário da conta do Instagram faça login. O titular real da conta será bloqueado ao mesmo tempo porque nesse caso a senha será redefinida.
Obter o código via e-mail ou número de telefone seria trabalhoso para que o hacker tivesse sucesso. No entanto, Laxman notou que ele não precisa desses dados. Ele só precisa tentar todas as combinações possíveis até encontrar a certa.
Ataques de força bruta com um milhão de combinações possíveis
No caso de um código de seis dígitos, o invasor precisa tentar, no máximo, todos os números de 0 a 999.999 até ter sucesso. Para crackers de senha automatizados isso não é um problema. No entanto, para dificultar, o código de reinicialização é válido somente por 10 minutos.
Além disso, os servidores podem ser relativamente bem protegidos contra tais ataques de força bruta. O Facebook aqui certamente terá tomado precauções e previsto a possibilidade de um ataque. Laxman decidiu tentar na sua própria conta do Instagram.
Ele começou por baixo enviando 1.000 solicitações com números de código diferentes para a sua própria conta do Instagram. Entre eles, 250 deles foram bem-sucedidos, mas 750 foram rejeitados. Em outra tentativa, o número de tentativas rejeitadas é ainda maior – o Instagram parece ter reconhecido o ataque.
Os endereços IP não são bloqueados
Neste momento Laxman percebe, no entanto, que os endereços IP a partir dos quais o ataque se origina parecem não estar bloqueados. Apenas o número de tentativas de login por endereço IP é limitado, mas o IP em si não é bloqueado. Isso deixou claro que bastaria usar endereços IP diferentes suficientes para as tentativas de login para ter sucesso.
Para sermos precisos, ele precisava de cerca de 5.000 endereços IP para um ataque bem-sucedido. Isso parece muito, mas em grandes hosts como Amazon ou Google isso não é problema nenhum. Laxman gastou um total de 150 dólares para realizar o ataque completo com 1 milhão de números.
Depois de hackear a sua conta com sucesso, ele envia um e-mail com a sua observação para o Facebook. Eles verificam o caso e no fim pagam ao hacker 30 mil dólares e fecham a lacuna. Laxman deve continuar a procurar vulnerabilidades e o programa de caça ao tesouro garante que essas informações não caiam nas mãos erradas.