Recentemente, Muthiyah encontrou uma nova falha, semelhante à anterior. A vulnerabilidade, desta vez, foi encontrada na validação de códigos de redefinição de senha do Instagram. A falha significava que um invasor poderia solicitar 1 milhão de códigos de redefinição de senha em uma janela de dez minutos e com 100% de êxito. Ele detectou que quando um usuário solicita uma senha usando seu dispositivo móvel, a ID do dispositivo é enviada junto com a solicitação. A mesma ID de dispositivo é usada novamente para verificar a senha. Os códigos de redefinição de senha do Instagram, contudo, expiram 10 minutos após a solicitação, o que levou à conclusão de a vulnerabilidade não é tão grave quanto parece.
A equipe de segurança do Facebook confirmou a vulnerabilidade, que foi corrigida, e concedeu prêmio de US$ 10 mil, agradecendo a Muthiyah por seu relatório — e informando que aguarda os próximos. ?
Programa de recompensa — Falando nisso, o Facebook estendeu o seu programa de recompensa Data Abuse Bounty para o Instagram. A ideia é que pesquisadores de segurança relatem casos de aplicativos de terceiros que acessam e armazenam indevidamente dados do usuário, incluindo aplicativos e serviços que oferecem falsas informações. De acordo com o Engadget, qualquer aplicativo que solicite informações de login de pessoas está violando os termos de uso do Instagram, e o Facebook deseja que a comunidade de segurança o notifique sobre esses casos.
Além disso, o Facebook está trabalhando com pesquisadores de segurança para testar o Checkout no Instagram, o recurso que permite que as pessoas comprem produtos sem sair do aplicativo. Um grupo selecionado de pesquisadores teve acesso antecipado ao Checkout no Instagram e será recompensado por relatórios qualificados.
A empresa de Mark Zuckerberg já desembolsou mais de US$ 1,1 milhão a pesquisadores de segurança de todo o mundo em 2018. O pagamento médio por descoberta de bugs foi de US$ 40 mil. No ano passado, o Facebook recebeu cerca de 17,8 mil relatórios, e o valor médio da recompensa foi em torno de US$ 1,5 mil.