Facebook, che in precedenza aveva confermato l’esistenza della vulnerabilità, ha già corretto il difetto.
La scoperta del ricercatore @ ZHacker13 è dello scorso agosto e secondo la stessa piattaforma, lo sfruttamento del bug avrebbe potuto consentire a un criminale informatico di associare i numeri di telefono ai dettagli dell’utente abusando delle informazioni, comportando un serio rischio per gli utenti.
Per pura coincidenza, all’inizio di settembre è stato scoperto un database non protetto correttamente, contenente un elenco di numeri di telefono e username composto da 419 milioni di utenti di Facebook da tutto il mondo. E circa una settimana fa, il ricercatore ZHacker13 ha spiegato al giornalista di Forbes Zak Doffman di aver rilevato una vulnerabilità su Instagram che avrebbe eluso i meccanismi di sicurezza della piattaforma. Tale bug permetterebbe inoltre l’accesso a un tipo di database simile a quello rintracciato in Rete che consentirebbe a un cybercriminale di sfruttare illegalmente tali informazioni, costituite da un lungo elenco di numeri di telefono, ID utente, nomi utente e nomi reali.
Il ricercatore ha spiegato ai media che un criminale informatico potrebbe trarre vantaggio da questa violazione riuscendo a eludere i meccanismi che proteggono questi dati, utilizzando un esercito di robot per creare un database contenente utenze accessibili e attaccabili.
Il problema riguardava l’importatore di contatti della piattaforma che, combinato con un attacco brute force sul modulo di accesso evidenziava la vulnerabilità. Secondo un portavoce di Facebook, la società ha modificato tale funzione di Instagram per prevenire qualsiasi abuso del bug.
Per comprendere l’entità della scoperta, il ricercatore ha condiviso con i giornalisti i dettagli su come la vulnerabilità potrebbe essere sfruttata e ha assicurato che con una potenza di elaborazione sufficiente sarebbe possibile creare un database composto da numeri di telefono e dati di milioni di utenti Instagram.
Doffman ha quindi condiviso le informazioni ricevute con il ricercatore ESET Lukas Stefanko, il quale ha convalidato la spiegazione e ha confermato tale possibilità.
In prima battuta Facebook aveva informato @ ZHacker13 di essere già a conoscenza del bug e che pertanto il ricercatore non sarebbe rientrato del programma bugbounty, per poi fare marcia indietro e dichiarare che avrebbe ricompensato il ricercatore per aver segnalato il bug.
-------------------------
L'originale di questo articolo è stato pubblicato su eset.it.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
