Instagram eliminerte trusselen om brukernes personvern

En uavhengig informasjonssikkerhetsspesialist under kallenavnet ZHacker13 oppdaget en sårbarhet på Instagrams sosiale nettverk som truer personvern og tillot brukerne å samle inn data automatisk.

Representanter for tjenesten i flere uker kunne ikke eliminere trusselen og begynte aktivt å jobbe med en løsning først etter å ha kontaktet Forbes-journalisten.

Ifølge forskeren, teknikken hans var bygget på feil med tjenester for autorisasjon og import av kontakter på Instagram. Med dens hjelp, det var mulig å samle inn ekte brukernavn, data fra kontoene deres, fullstendige telefonnumre fra ulike kilder til én enkelt database.

"På den første fasen, angriperen trengte å finne telefonnumrene som ekte kontoer er knyttet til. Å gjøre dette, han kunne legge ned ulike kombinasjoner av tall i Instagram-autorisasjonsskjemaet – i henhold til resultatene av forespørselen på denne siden, du kan forstå om det er ett eller annet nummer i tjenestens databaser., – fortalte Forbes informasjonssikkerhetseksperter.

Prosessen kan enkelt automatiseres ved å samle inn mer enn 1,000 gjeldende telefonnumre daglig. Eksperter klargjør også at når du bruker roboter som kjører parallelt, dette tallet kan øke nesten til det uendelige.

Har lister over tall for hånden, en angriper kan knytte dem til de tilsvarende kontoene gjennom kontaktimporteringssystemet.

«Instagram tilbyr hver ny bruker å synkronisere kontakter for å finne venner som allerede er registrert på det sosiale nettverket. Hvis tjenesten refererer til denne kontaktlisten, det er umulig å avgjøre ved den foreslåtte listen hvilket nummer som er knyttet til en bestemt konto.", — ZHacker13 forklart.

Instagram-utviklere lar hver bruker ikke sende mer enn tre forespørsler om kontosynkronisering daglig. Bruken av mange bots tillot å omgå denne grensen, hvoretter det eneste som begrenset appetitten til angripere var den tilgjengelige datakraften. I følge beregningene til ZHacker13, metoden hans tillot å samle informasjon fra millioner av brukere i en akseptabel tidsramme og uten betydelige kostnader.

I begynnelsen av august, eksperten kunngjorde funnet til Facebook, som eier Instagram.

Facebook-ingeniører sa at de ikke vurderte muligheten til å avklare om en bestemt telefon eller e-postadresse var knyttet til noen konto. Samtidig, utviklerne anerkjente at hvis sårbarheten tillater å finne ut kontaktene til en spesifikk bruker, da kan det være farlig.

Les også: Microsoft for å fikse Windows 10 Feil "Høy CPU-bruk".

derimot, Facebook nektet ZHacker13 i en belønning som en del av et feilsøkeprogram. Selskapet sa at dets egne spesialister tidligere hadde oppdaget problemet og allerede jobber med en løsning på det. Når, etter flere uker, sårbarheten forble relevant, eksperten demonstrerte sin funksjonalitet til Forbes-spaltist.

Etter å ha mottatt en forespørsel fra en journalist, Facebook-ansatte gjennomgikk sin holdning til betaling av godtgjørelse og ba om å utsette publiseringen til utviklerne retter feilen.

I Forbes påpekt at denne hendelsen indikerer mer alvorlig risiko enn sårbarheten til en egen webtjeneste. I fremtiden, kan forventes nye cyberangrep ved bruk av tilpassede telefonnumre, ettersom de i økende grad blir brukt til autorisasjon i applikasjoner og tjenester.

Om forfatteren

Valdis Kok

Sikkerhetsingeniør, reverse engineering og minneetterforskning

Legg igjen en kommentar