2 minutiInstagram ha confermato l’effettiva vulnerabilità recentemente scoperta sulla piattaforma. I malintenzionati sono infatti riusciti ad appropriarsi illegalmente di account e numeri telefonici.
La società è subito corsa ai ripari, cercando una soluzione rapida per proteggere efficacemente gli utenti.
La scorsa settimana Facebook ha risolto gravi violazioni di privacy riguardanti gli elenchi pubblici trovati online. I database contenevano nomi, cognomi e numeri telefonici inseriti in fase di registrazione da 400 milioni di utenti.
Ora è il turno di Instagram. Un hacker israeliano, @ZHacker13, avrebbe infatti scoperto una grave vulnerabilità sulla piattaforma. Ancora una volta, numeri di telefono e account collegati sono stati violati.
Facebook ha confermato la notizia. La procedura per rubare i dati sensibili risulterebbe piuttosto complessa. Tuttavia, la situazione avrebbe messo a rischio diversi utenti e potrebbe aver causato una grave perdita di dati.
Lo sfruttamento di questa vulnerabilità consentirebbe ai malintenzionati provvisti di bot e processori di creare un database con utenti ricercabili / attaccabili, aggirando le impostazioni di sicurezza che proteggono tali dati .
La causa del problema potrebbe collegarsi alla funzione “importa e sincronizza contatti” presente sulla piattaforma.
Un portavoce di Facebook dichiara:
“Abbiamo prontamente modificato la funzione per prevenire potenziali abusi. Siamo grati a chi ha scovato la vulnerabilità, lavorando per individuare il problema”.
Quindi, come funziona? L’utente malintenzionato usa un semplice algoritmo per forzare il modulo di accesso a Instagram, controllando singolarmente i numeri di telefono collegati agli account e verificandone l’autenticità.
Una singola istanza dell’algoritmo è in grado raccogliere più di 1.000 numeri Instagram ogni giorno; non c’è limite al numero di algoritmi eseguibili in parallelo.
Dopodiché, parte il processo successivo, finalizzato a trovare nome e ID dell’account collegato al numero di telefono. Entra quindi in gioco la funzione di sincronizzazione dei contatti di Instagram.
Il bot crea un account, Instagram chiede al nuovo utente (il bot) se desidera sincronizzare i contatti. Se l’elenco contiene uno dei singoli numeri presenti tra quelli violati, i dettagli collegati verranno immediatamente svelati.
Non ci sono prove che i dati degli utenti colpiti siano stati effettivamente sfruttati o abusati.
Domiziana Desantis
Il potere delle parole mi ha sempre affascinata, tanto che ho fatto della comunicazione la mia professione. Lavoro come Web Content Creator & Editor in Nextre Digital, web Agency di Milano, e scrivo contenuti per il blog di Mirko Cuneo.
Leggi altro