Seguridad

¿Cómo hackers usaron Instagram para robar datos frágiles de famosos?

Esta semana fue reportado por distintas agencias de seguridad y medios, un error en Instagram que permitió robar perfiles de usuarios en dicha plataforma, incluyendo celebridades. Esto fue corroborado por la compañía y validado por otras como Kaspersky.

“Descubrimos que uno o más individuos a través de un acceso no permitido, accedieron a información de contacto de perfiles importantes en Instagram. Específicamente su correo electrónico y número telefónico, explotando un error en la API.” (Declaración de Instagram)

Atacando a un viejo Instagram

Investigadores descubrieron que la vulnerabilidad aprovechada existe en la versión móvil 8.5.1 de Instagram, lanzada en 2016 (la versión actual es 12.0.0).

Publicidad

El proceso de ataque es relativamente simple: usando la aplicación obsoleta, el atacante selecciona la opción de restauración de contraseña y captura la solicitud mediante un proxy web. Entonces seleccionan a una víctima y envían una solicitud al servidor del servicio cargando el identificador o el nombre de usuario exclusivo del objetivo. El servidor devuelve una respuesta en formato JSON con la información personal de la víctima, incluyendo datos confidenciales, como el correo electrónico y el número de teléfono.

Instagram App.

Los ataques resultan bastante laboriosos: cada uno debe hacerse manualmente, ya que Instagram utiliza cálculos matemáticos para evitar que los atacantes automaticen el formulario de solicitud.
Los hackers fueron vistos en un foro clandestino, intercambiando credenciales personales por perfiles de celebridades en la red social.

La compañía declaró -además- que el error ya fue corregido, están siguiendo una investigación sobre esta vulneración y ninguna contraseña fue expuesta.

Noticias relacionadas

¿Cómo te engañan en Google Play para que descargues Apps falsas?

Equipo OhMyGeek!

Estafas de la Copa Mundial de Rusia comercializan entradas hasta 10 veces más caras

Equipo OhMyGeek!

El 60% del phishing de redes sociales es por páginas falsas de Facebook

Equipo OhMyGeek!

Celulares ZTE, Archos y otras marcas vienen con adware desde su fábrica

Javier Troncoso

Durante el inicio del 2018 los ataques a Microsoft Office “explotaron”

Equipo OhMyGeek!

Advierten de nueva estafa que promete un Galaxy S8 Plus a un dólar

Equipo OhMyGeek!