Una falla in Instagram ha consentito agli hacker violazioni di email e numeri di telefono di profili di “alto livello”, presumibilmente account di personaggi famosi. La notizia è riportata dalla testata TechCrunch ed è stata confermata dalla stessa società di proprietà di Mark Zuckerberg. Instagram non ha specificato di quali profili si tratti ma ha sottolineato che l’hacker non ha avuto accesso alle password e che ora il problema è risolto.
A questa azione potrebbe essere ricondotta la violazione, qualche giorno fa, del profilo di Selena Gomez che ha 125 milioni di follower, su cui sono state pubblicate foto ose’ della popstar Justin Bieber a cui la Gomez è stata legata. La falla è stata segnalata da Instagram agli utenti interessati, la società ha consigliato di alzare le barriere di sicurezza utilizzando il meccanismo di autenticazione a due fattori (per accedere al profilo oltre alla password serve un codice ha arriva sul telefono tramite sms). Tre anni fa una falla nel servizio iCloud di Apple permise ad un hacker di rubare foto di celebrità come Jennifer Lawrence, in alcuni casi in rete finirono anche immagini ose’.
Secondo Kaspersky Lab, i cui ricercatori hanno scoperto la falla, la vulnerabilità esiste nella versione 8.5.1 per mobile di Instagram, rilasciata nel 2016 (la versione corrente è 12.0.0). Il processo di attacco è relativamente semplice: utilizzando la versione non aggiornata dell’applicazione i criminali selezionano l’opzione di ripristino della password e registrano la richiesta utilizzando un proxy web. Quindi selezionano una vittima e inviano una richiesta al server di Instagram tramettendo l’identificativo della vittima o il suo nome utente. Il server restituisce una risposta in JSON con le informazioni personali della vittima, compresi i dati sensibili come l’indirizzo e-mail e il numero di telefono.
Gli attacchi sono piuttosto impegnativi: ciascuno di essi deve essere fatto manualmente in quanto Instagram utilizza calcoli matematici per impedire ai criminali di automatizzare il modulo di richiesta. Gli hacker sono stati individuati in un forum underground mentre negoziavano le credenziali private degli account appartenenti ad alcune celebrità.
