Nir Goldshlager ha descubierto una vulnerabilidad Oauth de Instagram que permite a un atacante acceder a cualquier cuenta sin el permiso de su propietario. La vulnerabilidad roba la cuenta de Instagram directamente o bien usa el robo de sesión a través de Facebook.
Su descubridor es el mismo que ha informado recientemente de otros fallos detectados en redes sociales tan importantes como Facebook. En este caso cualquier ciberdelincuente que aproveche este fallo de seguridad en la red de fotografía Instagram podría acceder a fotos privadas e incluso borrar información, así como subir nuevas imágenes y editar o borrar comentarios.
Para llevar a cabo la vulnerabilidad Oauth el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado y que es explotado si se modificaba el sufijo del sitio especificado. Así un dominio web acabado en .com podría cambiarse a .com.es y ‘hackear la seguridad’. El ciberdelincuente debe comprar el dominio con el sufijo modificado y de esta forma robar la cuenta.
Goldshlager descubrió un segundo método para llevar a cabo la usurpación de la cuenta y demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri. Así, un atacante podría robar el ‘token’ de sesión de cualquier usuario de Instagram. Desde Facebook han informado de que este problema ya está solucionado.
La cuenta será robada sin necesidad de poner usuario y contraseña y por ahora no se ha encontrado solución para la misma. Los afectados sólo pueden recurrir a eliminar la cuenta mientras Instagram trabaja para solucionar el problema.