lunes, 13 de mayo de 2013

Un fallo de Instagram permite acceder a cualquier cuenta

Acceder al perfil de cualquier usuario de forma fácil y peligrosa. El fundador de Break Security, Nir Goldshlager, ha descubierto una vulnerabilidad Oauth de Instagram que permite a un atacante acceder a cualquier cuenta sin el permiso de su propietario. La vulnerabilidad roba la cuenta de la red de fotografía directamente o bien usa el robo de sesión a través de Facebook.

En una entrada en su blog, su descubridor es el mismo que ha informado recientemente de otros fallos detectados en redes sociales tan importantes como Facebook. En este caso cualquier ciberdelincuente que aproveche este fallo de seguridad en la red de fotografía Instagram podría acceder a fotos privadas e incluso borrar información, así como subir nuevas imágenes y editar o borrar comentarios.

Para llevar a cabo la vulnerabilidad Oauth el atacante utiliza el parámetro «redirection_uri» que valida el sitio web indicado y que es explotado si se modificaba el sufijo del sitio especificado. Así un dominio web acabado en .com podría cambiarse a .com.es y «hackear la seguridad». El ciberdelincuente debe comprar el dominio con el sufijo modificado y de esta forma robar la cuenta.

Goldshlager descubrió un segundo método para llevar a cabo la usurpación de la cuenta y demostró que es posible utilizar cualquier dominio en el parámetro «redirection_uri». Así, un atacante podría robar el «token» de sesión de cualquier usuario de Instagram. Desde Facebook han informado de que este problema ya está solucionado.

La cuenta será robada sin necesidad de poner usuario y contraseña y por ahora no se ha encontrado solución para la misma. Los afectados sólo pueden recurrir a eliminar la cuenta mientras Instagram trabaja para solucionar el problema.