Ha sido el desarrollador web e investigador de seguridad Laxman Muthiyah, autor del blog sobre tecnología The Zero Hack, quien reveló el fallo en la red social. Cuando los usuarios desean restablecer su contraseña o recuperar el acceso a su cuenta en Instagram, el servicio les pide que introduzcan un código de seguridad de seis dígitos enviado a su número de móvil o de correo electrónico. Eso significa que uno tendría que adivinar una de las millones de combinaciones posibles para hacerse con el control de la cuenta de otra persona. Aunque hay un camino más corto.
El código debe utilizarse en un plazo de 10 minutos. Además, Instagram cuenta con una protección que limita la velocidad a la que se introducen las combinaciones para evitar hackeos. Es decir, limita el número de solicitudes que puede hacer una dirección IP. Pero solo una.
Así que Laxman descubrió que esta característica no sirve ante un ataque de fuerza bruta desde múltiples direcciones IP que envíen peticiones simultáneas sin limitarse.
"Durante un ataque real, el atacante necesita 5.000 IP para piratear una cuenta. Parecen muchas, pero es fácil de lograr si usas un proveedor de servicios en la nube como Amazon o Google. Costaría unos 150 dólares organizar un ataque completo lanzando un millón de códigos", dice.
Laxman informó de la vulnerabilidad a Facebook, que es el propietario de Instagram. Desde entonces, la empresa ha corregido el error y Laxman tiene en el bolsillo 30.000 dólares.
