Cómo hackeé una cuenta de Instagram - How I Could Have Hacked Any Instagram Account
(thezerohack.com)Testimonio de alguien que reportó esto a Facebook y recibió una recompensa de $30K. Para averiguar el código de 6 dígitos recibido mediante la recuperación de contraseña móvil, probó números 200 veces por cada una de mil IP durante 10 minutos. Con un total de 200 mil intentos numéricos, logró vulnerar la contraseña.
La mayoría de los servicios tienen Rate Limiting, pero esto se evadió usando múltiples IP.
Dice que, si esto realmente no se hubiera bloqueado, con unas 5000 IP (con un costo aproximado de $150 en Amazon) habría sido posible hackear cualquier cuenta.
2 comentarios
Si fallan al ingresar el código de verificación unas 5 veces, parecería suficiente con invalidar ese código y obligar a emitir uno nuevo... (nosotros también deberíamos corregirlo)
Como también se menciona en el artículo, el método de recuperación de contraseña que consiste en hacer clic en un enlace recibido por correo es más seguro.