La red social debió solucionar, en los últimos días, una "vulnerabilidad crítica" que permitía a cualquier persona acceder y tomar control sobre la cuenta de cualquier otro.
En solo diez minutos, un usuario podía ingresar a la cuenta de otro sin ningún tipo de interacción con el dueño de la cuenta. Se trató de un fallo en el mecanismo de recuperación de contraseñas de Instagram implementado en la versión móvil.
De esta forma, permitía que cualquier persona en remoto, solicitase una nueva contraseña para cualquier cuenta de Instagram. Al hacerlo, podía tener acceso a la misma y dejar al mismo tiempo a su propietario sin acceso, ya que se había reseteado la clave,.
Esta función estaba pensada para cuando un usuario ha olvidado su contraseña, y obliga al usuario a confirmar un código secreto de seis dígitos que se envía al número de teléfono asociado a su cuenta o a la cuenta de correo electrónico con la que se dio de alta. Es una forma de confirmar su identidad.
El código enviado expira a los 10 minutos, pero cualquier ciberdelincuente podría necesitar menos tiempo para hacerse con el control de la cuenta. Sin embargo, para evitar esto, Instagram limita el número de intentos.
Pero eso no era suficiente. Según descubrió Muthiyah, si se envían peticiones desde distintas direcciones IPde forma simultánea, Instagram procesa todas las peticiones. El investigador probó a acceder a cuentas ajenas enviando de esta manera a Instagram 200.000 combinaciones diferentes de contraseñas en 10 minutos.
De todas maneras, la vulnerabilidad no se ha comunicado hasta que Instagram no la ha resuelto, por lo que ya no es posible acceder de manera ilícita a las cuentas.
