Cómo podrían haber hackeado tu cuenta de Instagram

Un experto en seguridad informática belga acaba de recibir una recompensa de 5.000$ por encontrar una vulnerabilidad en Instagram.

Esta noticia se contrapone con la del estudiante eslovaco que ha surgido estos días. En ese caso, un estudiante de la Universidad de Maribor descubrió un problema en el cifrado del sistema comunicaciones de emergencias TETRA, el cual a veces emitía sin ningún tipo de cifrado por error.

Como el fallo no se subsanó lo suficientemente rápido, para el gusto Dejan Ornig (su descubridor), este decidió hackear el sistema varias veces empleando su método, según él para forzar a que los responsables tomaran medidas. La jugada le salió cara al terminar con una sentencia a 15 meses de cárcel en vez de recibir una cuantiosa recompensa.

En el caso de Instagram, las dos partes actuaron con aplomo. El experto, Arne Swinen, usó únicamente sus cuentas de testeo cuando investigaba el problema. De hecho, no fue capaz de probar su teoría completamente con sus cuentas, pero no continuó indagando con cuentas de terceros para no interferir en el trabajo de nadie. Simplemente informó a Facebook, el propietario de Instagram, de lo que había descubierto.

Según las propias palabras de Swinen, es la responsabilidad de los investigadores no interferir con las cuentas ya existentes pese a que, en algunos casos, pueda disminuir la cuantía de las recompensas.

Facebook, por su parte, solucionó el problema de un día para otro y le pagó a Swinen sus 5.000$ en menos de dos semanas.

El agujero de seguridad

Swinen encontró el problema cuando quiso entrar en Instagram al cabo de un tiempo, por lo que el sistema le pidió que pasara por un proceso de re-verificación de su cuenta, una medida habitual de precaución que toman muchas webs.

La siguiente imagen es algo parecido a lo que Swinen obtuvo:

El problema reside en que se puede cambiar el ID del usuario en el URL. Esto es un problema grave de seguridad ya que un ciberdelincuente podría ir probando distintos IDs para crear una lista de usuarios que se encontraran en proceso de verificación.

El siguiente paso de Swinen fue ver qué porcentaje de IDs producirían una página de verificación, para lo que testó un millón de cuentas.

Sus hallazgos fueron muy interesantes. Había cuatro tipos de pantallas de verificación, siendo dos, equivalentes al 4% del millón, totalmente distintas ya que en vez de enviarte un código a un correo o número de teléfono que ya conocía Instagram, se ofrecía enviarlo a un email o teléfono totalmente nuevo, por lo que cualquiera podría vincular esa cuenta con sus datos, bloqueando completamente a su dueño legítimo.

Por suerte, tanto Swinen como Instagram realizaron un gran trabajo y nadie se vio afectado por este fallo en la seguridad.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: