Investigador logra burlar la autenticación de 2 factores de Instagram

Laxman Muthiyah es un investigador en seguridad informática que acaba de ganarse 30.000 dólares, pagados por Facebook, por encontrar un exploit que le permitió burlar la autenticación de 2 factores (2FA por sus siglas en inglés).

De acuerdo a Muthiyah, utilizando el procedimiento de recuperación móvil, pudo demostrar cómo podía autenticarse a cualquier cuenta de Instagram.

El investigador explica que lo primero que le vino a la mente al buscar por una vulnerabilidad para acceder una cuenta fue el procedimiento para restablecer la contraseña por olvido vía web de escritorio, el cual está basado en un enlace, el cual es difícil de burlar y no pudo encontrar nada.  Luego intentó la recuperación vía móvil, donde finalmente encontró algo que lo podría ayudar a burlar el sistema de autenticación de 2 factores.

Vía móvil Instagram utiliza otro método y en lugar de un enlace, envía un texto con un código de 6 dígitos, o sea un millón de combinaciones diferentes, algo que manualmente es difícil, pero con la ayuda de ordenadores y automatización es mucho más fácil descubrir.

De acuerdo al investigador Instagram 2FA bloquea una IP luego de probar 250 combinaciones.  Muthiyah demostró que con 1000 direcciones de IP al mismo tiempo se podían enviar un total de 200.000 combinaciones.

Con 5.000 IPs se podrían enviar el millón de combinaciones necesarias para poder pasar el sistema 2FA, cosa que no es imposible y que con menos de 200 dólares se puede hacer utilizando los servicios de la nube de Google o Amazon, por nombrar un par de proveedores.

Sin descubrir la vulnerabilidad, el investigador hizo el reporte con Facebook y finalmente luego de probar el exploit, Facebook recompensó a Muthiyah con un cheque de 30.000 dólares.  La vulnerabilidad poco tiempo después fue arreglada y al menos de esa manera no se puede acceder a una cuenta.