Instagram, società di proprietà di Facebook, ha confermato di aver subìto un attacco informatico e lamenta la sottrazione, da parte di sconosciuti, di indirizzi email e numeri di telefono.
Secondo i portavoce di Instagram, l’aggressione avrebbe colpito diversi profili di personaggi famosi permettendo ai criminali informatici di appropriarsi di dati personali.
Il problema di sicurezza che è stato sfruttato per porre in essere l’attacco risiederebbe nelle API di Instagram che consentono al servizio di comunicare con altre applicazioni, comprese quelle di terze parti.
Instagram ha chiarito che la vulnerabilità non ha esposto alcuna password utilizzata a protezione degli account e ha assicurato che il problema è stato immediatamente risolto con l’applicazione di una patch lato server.
Il social network ha preferito non fare alcun nome: non è quindi dato sapere, almeno per ora, quali siano i personaggi famosi i cui account sono stati direttamente aggrediti (anche se circolano i nomi di Selena Gomez e Justin Bieber recentemente bersaglio di un’aggressione che è sfociata nella pubblicazione di foto personali).
Cosa se ne fanno gli aggressori di indirizzi email e numeri di telefono? Semplice. Queste informazioni sono utilissime per avviare nuovi attacchi: sfruttando l’ingegneria sociale si possono inviare email agli utenti presi di mira inviando SMS ed email con la richiesta di confermare identità e password per l’accesso ai vari servizi online.
Agli utenti è caldamente consigliato di attivare l’autenticazione a due fattori e di scegliere sempre password sufficientemente lunghe e complesse (non riutilizzandole mai su più servizi).
Kaspersky ha pubblicato un’analisi tecnica dell’incidente occorso su Instagram spiegando che gli aggressori dovrebbero aver fatto leva su una vecchia versione dell’app per i dispositivi mobili (la 8.5.1 rilasciata nel 2016; la versione corrente è la 12.0.0).
Utilizzando la versione non aggiornata dell’applicazione Instagram, i criminali informatici hanno selezionato l’opzione per il ripristino della password dei vari account altrui e registrato la richiesta utilizzando un proxy web.
Inviando successivamente un’apposita richiesta al server di Instagram facendo leva sulla vecchia versione delle API, ora corrette, e trasmettendo l’identificativo della vittima o il suo nome utente, la piattaforma restituiva una risposta in formato JSON con informazioni personali come indirizzi email e numeri di telefono.