Hasta hace poco un grave error en Instagram exponía los datos de millones de cuentas. La peor parte es que según un informe publicado por Forbes, la persona que logró demostrar la vulnerabilidad (@ZHacker13), había denunciado anteriormente el problema. Al parecer, Facebook no había logrado dar con una solución válida.
PUBLICIDAD
La vulnerabilidad le daría a un atacante la posibilidad de obtener el número de teléfono, el nombre real y el nombre de usuario de millones de cuentas en poco tiempo. Esto se daría gracias al poco filtro que tiene la herramienta de importación de contactos de Instagram. El método usado sería un «Ataque de Fuerza Bruta», utilizando numerosos algoritmos para romper la seguridad de cualquier sistema. Esta no es la primera vez que sucede, pues en los últimos meses errores similares se han reportado.
¿Cómo funciona?
Lo que hace el hacker es usar un algoritmo para realizar un ataque de «Fuerza Bruta» en el inicio de sesión de Instagram. Ya que las cuentas pueden estar enlazadas a un número de teléfono, el atacante ingresa un número incompleto. Es el algoritmo el que se encarga de completarlo con todas las combinaciones posibles. Naturalmente, la plataforma lanzará un mensaje de «Este número es inválido» o no. Si no muestra un mensaje de error, es porque es un número registrado.
De esta forma, una sola versión del algoritmo puede recolectar 1.000 números reales por día. Esto, con solo hacer 15.000 solicitudes. Por supuesto, un atacante usará más de un algoritmo al tiempo. Es decir, la cantidad de números que se pueden obtener se multiplica de forma inimaginable.
Por otro lado, el hacker puede averiguar los nombres de cuenta enlazados a cada uno de esos números de teléfono. Esto lo hace al aprovecharse de la herramienta de sincronización de contactos. Todo lo que tiene que hacer un robot es agregar todos los números, crearse una cuenta en la plataforma, y esta le preguntará si quiere usarlos para encontrar conocidos. Con esto sería capaz de hacer una base de datos de usuarios potencialmente atacables.
Instagram tiene un límite de sincronización de contactos de 3 veces al día por cuenta. Sin embargo, esto no es un problema, pues más de 40 robots con respectivas cuentas pueden funcionar en una sola máquina. Según el hacker, con solo 40 cuentas puede conseguir los detalles de 143 cuentas de la red social y se obtienen más de 840 números de teléfono a la semana.
Avances decepcionantes
Según el experto en seguridad, Facebook no ha hecho los suficientes esfuerzos para resolver el problema. De hecho, antes de que Forbes publicara el informe, la compañía le pidió al medio un par de días para hallar una solución. En teoría, la herramienta de sincronización de contactos ya fue modificada.
PUBLICIDAD
Cuando ZHacker13 informó a Facebook hace un mes, la empresa le respondió que ya era consciente del problema y que no tendría recompensa alguna. Sin embargo, las cosas siguieron igual con el pasar de las semanas, por lo que el experto siguió insistiendo. Además, señaló frustrado la «poca urgencia por reparar el error». Finalmente después de solucionar el tema, Facebook señaló que si iba a haber una recompensa para el hacker.
No hay evidencia alguna de que alguien haya usado este método para vulnerar las cuentas. Sin embargo, no es la primera vez que un error de seguridad así ocurre.