Un bug di Instagram sembra permettere agli hacker di accedere a contatti telefonici e agli indirizzi email delle rubriche degli utenti di alto profilo con account verificati .
Secondo il suo comunicato la falla sarebbe stata individuata recentemente nelle API dell’app, non avrebbe comportato la compromissione delle password degli account e sarebbe già stata corretta. Tuttavia vi sono state delle vittime eccellenti.
Per quanto il social network, per il momento, si sia limitato a riferire che vi sono state delle vittime di hacking, senza specificare quanti e chi, la notizia sembra essere la causa della violazione dell’account di Selena Gomez, il più seguito su Instagram con 125 milioni di follower, che ha portato appena qualche giorno fa, alla diffusione online di immagini nude del suo ex ragazzo Justin Bieber.
Anche per questo a tornare immediatamente in mente è che si possa trattare di un nuovo scandalo fappening , con un problema di sicurezza che permette a terzi non autorizzati l’accesso a immagini private dei Vip.
Per questo, e dal momento che le informazioni eventualmente ottenute dagli hacker potrebbero essere utilizzate per tentativi di scam, Instagram ha già avvertito nella giornata di ieri tutti gli amministratori degli account verificati, tra cui figurano star come Ariana Grande, Taylor Swift, Beyoncé, Kim Kardashian e lo stesso Justin Bieber, mettendoli in guardia da chiamate, messaggi o email da numeri o indirizzi sconosciuti.
UPDATE : Kaspersky Lab, i cui ricercatori hanno rilevato il bug notificandolo a Instagram martedì 29 agosto, ci fornisce alcuni dettagli tecnici sull’accaduto.
La vulnerabilità esiste nella versione 8.5.1 mobile di Instagram , rilasciata nel 2016 (quella attuale è la 12.0.0). L’attacco è reso possibile utilizzando la versione non aggiornata dell’applicazione: il criminale seleziona l’opzione di ripristino della password e registra la richiesta utilizzando un proxy Web; seleziona quindi una vittima e invia una richiesta al server di Instagram tramettendo l’identificativo della vittima o il suo nome utente. Il server restituisce una risposta in JSON con le informazioni personali della vittima, compresi i dati sensibili come l’indirizzo email e il numero di telefono.
Ciascun attacco deve essere eseguito manualmente , in quanto Instagram utilizza calcoli matematici per impedire ai criminali di automatizzare il modulo di richiesta. L’impegno richiesto fa dunque stringere il cerchio attorno ai profili di alto livello. Gli hacker sono stati infatti individuati in un forum underground mentre negoziavano le credenziali private degli account appartenenti ad alcune celebrità.
Kaspersky Lab consiglia agli utenti di aggiornare il prima possibile le versioni precedenti del software con l’ultima disponibile. Un altro consiglio utile (valido per tutti i social media) è quello di usare diversi indirizzi di posta elettronica per le diverse piattaforme segnalando prontamente eventuali preoccupazioni o irregolarità al social network, soprattutto quando si ricevono messaggi di posta elettronica relativi a un ripristino di password non richiesto personalmente.
Claudio Tamburrino