10% das antigas senhas vazadas do twitter funcionam no Instagram

Vou me aprofundar nessa questão e estender esse post quando eu tiver a chance. Por hora, apenas uma observação curiosa: após codar um simples script que tenta logar no Instagram com senhas vazadas de usuários do twitter entre 2011 e 2013, cerca de 10% se mostraram válidas.

Esse rápido teste demonstrou claramente duas coisas:

  • O instagram até implementa alguma proteção contra um número excessivo de logins provenientes do mesmo IP (2 minutos de banimento do IP a cada 150 tentativas falhas de login), mas nesse ritmo um hacker conseguiria testar mais de 100.000 contas/senhas em um único dia. Acredito que o Instagram poderia restringir bem mais. Além disso, eles precisam o quanto antes oferecer uma opção de autenticação em dois fatores.
  • Uma boa parte dos usuários vão sempre reaproveitar suas senhas. Com tantos serviços e redes sociais para gerenciar, escolher uma senha diferente pra cada um e memorizar todas elas se tornou algo inviável. Daí a importância dos gerenciadores de senhas como 1Password ou o gratuito KeePass, que criam senhas randômicas a cada nova conta registrada e preenchem o formulário de login automaticamente. Tomara que essas ferramentas se propaguem cada vez mais rápido.

bug no iCloud que causou vazamento de fotos: simples HTTP auth brute force?

Na noite de ontem a internet inteira acompanhou boquiaberta o vazamento de fotos íntimas afetando uma dúzia de celebridades – apesar de eu só ter visto umas 4.

Como os detalhes de hackeamentos estupidamente simples não costumam demorar a aparecer, os caras da hackapp.com postaram no GitHub um código explorando supostamente o mesmo bug usado no hack, que eu imediatamente testei e confirmei que funciona como esperado:

A exploit nada mais é do que um simples brute force via HTTP basic auth numa API provavelmente obscura usada pelo iCloud, que pelo user-agent usado no código, parece fazer parte de alguma funcionalidade do recurso FindMyiPhone do iOS.

O erro da Apple foi não banir o IP do atacante ou bloquear a conta da vítima após X tentativas de login, vacilo clássico que sempre permite ataques de força bruta.

Ainda não há confirmação de que essa tenha sido de fato a brecha que causou o vazamento das fotos, mas esse bug em particular é real e não há desculpa para uma empresa com o tamanho da Apple deixar passar uma vulnerabilidade que, de acordo com a OWASP, está entre as 3 mais frequentes em aplicações web.

Como se proteger

Após a Apple corrigir esse bug em particular, outros poderão surgir a qualquer momento, então simplesmente considere não usar o iCloud pra sincronizar/backupear as fotos tiradas no iDevice. Mas se você quiser correr o risco mesmo assim, tenha certeza de usar uma senha forte e que não se repita em nenhum outro site ou serviço.-

Se estiver procurando uma consultoria de Segurança da Informação capaz de validar seus códigos, sistemas e aplicações, contate a Midri.