Aggiornamenti recenti Giugno 16th, 2025 5:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Anubis, un nuovo ransomware che integra un wiper
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Bug in Instagram permetteva di rubare gli account
Una falla di sicurezza nel sistema di recupero password consentiva di eseguire un attacco di brute forcing per violare il codice di conferma.
L’utilizzo dei codici inviati via SMS non è uno strumento particolarmente sicuro quando viene usato come sistema di autenticazione a due fattori. Se viene usato come unico strumento per l’autenticazione, però, rischia di trasformarsi in una vera voragine di sicurezza.
Per spiegarlo agli sviluppatori di Instagram, però, c’è voluto l’intervento di Laxman Muthiyah, un ricercatore di sicurezza che ha scovato una clamorosa falla nel sistema di autenticazione del social network.
Come spiega in un articolo pubblicato su Internet, nella sua attività di “cacciatore di bug” Muthiyah si è concentrato per qualche tempo sul sistema di recupero della password di Instagram. Il social network, infatti, prevede diverse modalità per chiedere il reste della password.
Quello per la versione Web utilizza un classico link che ha tutte le carte in regola per resistere a qualsiasi attacco. Quello per mobile, invece, sfrutta un codice a sei cifre che viene inviato tramite SMS al telefono del legittimo proprietario dell’account.
Ciò è che si è chiesto Muthiyah è: cosa succede se qualcuno prova a violare il codice provando tutte le possibili combinazioni?
Teoricamente, operazioni come queste (con un codice a sei cifre stiamo parlando di un milione di possibili combinazioni) dovrebbero essere bloccate automaticamente. Prima di escludere a priori l’ipotesi, però, il ricercatore ha deciso di provarci.
Il primo tentativo, spiega nel suo articolo, gli ha permesso di capire che il sistema di protezione scelto da Instagram contro gli attacchi di brute forcing è quello di limitare il numero di tentativi di accesso. Non solo: la validità del codice è di 10 minuti.
Nello specifico, Muthiyah ha scoperto di essere in grado di inviare fino a un massimo di 200 codici in 10 minuti da un singolo computer.
Quello che ha scoperto, però, è che il sistema di protezione considera soltanto il singolo dispositivo, individuandolo attraverso l’indirizzo IP. Un attacco contemporaneo da parte di più computer (o da differenti indirizzi IP) però, può far saltare la protezione.
Nel video qui sopra, Muthiyah mostra come sia riuscito a eseguire 200.000 tentativi di accesso utilizzando 1.000 indirizzi IP.
Per garantire un successo al 100%, di conseguenza, basterebbe utilizzare 5.000 IP differenti e una potenza di calcolo sufficiente per inviare un milione di richieste in 10 minuti. Impossibile? Non proprio. Secondo il ricercatore, le risorse su cloud per un’operazione del genere richiedono un investimento di soli 150 dollari.
Molti se si pensa di hackerare account a caso, ma decisamente pochi se si vuole colpire uno specifico bersaglio di “alto profilo”, come un politico o una celebrità.
Prima di correre ad affittare server su Amazon, sappiate che dopo la segnalazione di Muthiyah Instagram ha tempestivamente corretto la falla di sicurezza, ricompensando il ricercatore con 30.000 dollari.
La cifra (piuttosto modesta) riconosciuta come “taglia” per il bug è giustificata, tutto sommato, dalla relativa pericolosità del bug. Per poter portare l’attacco, infatti, è necessario conoscere il numero di telefono della vittima. Un dettaglio che, nel caso di bersagli di alto profilo, non dovrebbe essere facile da ottenere.
Condividi l'articolo
Bug nei NAS Iomega. Milioni di file esposti su Internet
Nuovi attacchi ai router. La minaccia arriva dal Brasile
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Anubis, un nuovo ransomware che integra un wiper I ricercatori di Trend Micro hanno individuato Anubis, un... -
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva...
Ransomware: la serie
No posts found.
