Como eu hackeei uma conta do Instagram - How I Could Have Hacked Any Instagram Account
(thezerohack.com)Relato de quem recebeu uma recompensa de $30K após reportar isso ao Facebook. Para descobrir o código de 6 dígitos recebido na recuperação de senha pelo celular, foram feitas 200 tentativas por IP a partir de mil IPs durante 10 minutos. No total, a senha foi quebrada com 200 mil tentativas numéricas.
Na maioria dos serviços existe rate limiting, mas isso foi contornado usando vários IPs.
Se isso realmente não tivesse sido bloqueado, ele diz que seria possível hackear qualquer conta com cerca de 5.000 IPs (custo aproximado de $150 na Amazon).
2 comentários
Se você falhar na digitação do código de verificação umas 5 vezes, provavelmente bastaria invalidar o código e forçar a reemissão... (acho que a gente também precisa corrigir isso)
Como o próprio texto diz, a forma de recuperação de senha em que você clica no link recebido por e-mail é mais segura