Saltar al contenido

Instagram ha sido hackeado con propósitos de investigación

Dic 18, 2015

¿Alguna vez te has preguntado cómo se podría entrar forzosamente a una cuenta de Instagram o de Facebook? Puede que requiera de más que inteligencia, buena conexión y una gran computadora, cosas de las que la mayoría de los usuarios de la web carecen pero sin dudas, algo que alguien pudo lograr.

Aún cuando esto se haga con fines investigativos y muy buenas intenciones, digamos, que al detectar la falla, pueda ser reportada, implica un gran lío para el que se avoque a encontrarla.

Instagram es hackeado por motivos de investigación

Un investigador independiente, especialista en seguridad web asegura que se vio amenazado en Facebook, luego de que muy responsablemente develara una serie de vulnerabilidades en la seguridad y la configuración del mencionado sitio web, que le permitieron ganar acceso a información delicada que se almacena en los servidores de Instagram, entre la que se incluye:

  • Código fuente del sitio web de Instagram
  • Certificados SSL y contraseñas para Instagram
  • Llaves utilizadas en el proceso de autenticación de cookies
  • Detalles personales de usuarios y empleados de Instagram
  • Credenciales de correo electrónico de los servidores
  • Llaves para más de media docena de otras funciones de suma importancia, del sitio web

Sin embargo, en vez de premiarlo de alguna manera, Facebook ha amenazado con demandar al investigador por retener la información acerca de las fallas a su equipo.

Instagram es hackeado por motivos de investigación 3

Wesley Weinberg, un investigador de altura, empleado en Synack, participó en un programa de caza de vulnerabilidades de Facebook, que lo llevó a analizar los sistemas de Instagram; pudo ubicar una potencial fuente de debilidades en un servidor de dirección sensu.instagram.com luego de que un colega se lo indicara.

El investigador entonces encuentra una vulnerabilidad de tipo RCE (Remote Code Execution, o Ejecución Remota de Código) en la manera en la que el servidor citado procesaba las cookies de sesión de usuario que normalmente se usan para ‘recordar’ los detalles de ingreso de los usuarios.

Instagram es hackeado por motivos de investigación 2

La ejecución de código remota fue posible gracias a dos debilidades puntuales:

  • La aplicación web de administración Sensu, del servidor contenía un amuleto secreto Ruby de codificación densa.
  • El host ejecutaba una versión de Ruby (3.x) que era susceptible a la procesión de código que se propiciaba por la cookie de la sesión de

Exacerbando la vulnerabilidad, Weinberg fue capaz de forzar al servidor a mostrar una extensa base de datos, en la que estaba contenidos detalles de datos de ingreso de usuarios y credenciales de empleados de Facebook e Instagram.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies