A fost găsit recent un defect de securitate ce le permitea hackerilor să acceseze date legate de conturile utilizatorilor, cum ar fi numărul de telefon și numele real al utilizatorilor de Instagram. Facebook, care a confirmat anterior existența vulnerabilității, a remediat deja această lacună.

Acest bug a fost descoperit în august de către cercetătorul @ZHacker13. Potrivit Instagram, exploatarea bug-ului ar fi permis unei persoane cu rele intenții să asocieze numere de telefon cu detaliile utilizatorilor și să utilizeze abuziv aceste informații, ceea ce reprezintă un risc pentru aceștia. Singurul lucru de care un atacator ar fi avut nevoie pentru a viza un utilizator ar fi asocierea acestor date.

Întâmplător, la începutul lunii septembrie, a fost descoperită o bază de date neconfigurată, ce conținea o listă de numere de telefon și nume de utilizator ale unui număr impresionant de 419 milioane de utilizatori Facebook din întreaga lume. Într-un interviu dat jurnalistului Forbes, Zak Doffman, Zhacker13 explică că această vulnerabilitate ar escala mecanismele de securitate ale platformei.

Cercetătorul a explicat presei că un atacator ar putea profita de această lacună de securitate și ar putea păcăli mecanismele care protejează aceste date, folosind boți și procesoare pentru a crea o bază de date a utilizatorilor accesibilă.

Articolul explică că totul a pornit de la importul de contacte al platformei, care, atunci când a fost combinat cu un atac de forță brută asupra formularului de autentificare, a expus existența vulnerabilității. Potrivit unui purtător de cuvânt al Facebook, compania a modificat importatorul de contacte din Instagram pentru a preveni orice abuz al acestui bug.

Aceasta ar permite, de asemenea, accesul la o bază de date similară cu cea cunoscută recent, ceea ce i-ar permite unui hacker să abuzeze de aceste informații (o listă lungă de numere de telefon, ID-uri de utilizator, nume de utilizator și nume reale).

Pentru a înțelege amploarea acestei descoperiri, cercetătorul a împărtășit jurnalistului detalii despre cum poate fi exploatată vulnerabilitatea și s-a asigurat că, cu o putere de procesare suficientă, va fi posibilă crearea unei baze de date compuse din numere de telefon și date de la milioane de utilizatori ai platformei Instagram.

La rândul său, jurnalistul a împărtășit informațiile cu cercetătorul nostru Lukas Stefanko, care a validat explicația și a confirmat existența acestei vulnerabilități.

Inițial, Facebook a răspuns că luase la cunoștință această eroare și că cercetătorul nu va fi beneficia de programul de recompensare a bug-urilor. Cu toate acestea, platforma socială și-a reconsiderat decizia și îl va răsplăti în cele din urmă pe @ZHacker13 pentru raportarea erorii.