Seguridad

¿Cómo hackers usaron Instagram para robar datos frágiles de famosos?

Esta semana fue reportado por distintas agencias de seguridad y medios, un error en Instagram que permitió robar perfiles de usuarios en dicha plataforma, incluyendo celebridades. Esto fue corroborado por la compañía y validado por otras como Kaspersky.

«Descubrimos que uno o más individuos a través de un acceso no permitido, accedieron a información de contacto de perfiles importantes en Instagram. Específicamente su correo electrónico y número telefónico, explotando un error en la API.» (Declaración de Instagram)

Atacando a un viejo Instagram

Investigadores descubrieron que la vulnerabilidad aprovechada existe en la versión móvil 8.5.1 de Instagram, lanzada en 2016 (la versión actual es 12.0.0).

El proceso de ataque es relativamente simple: usando la aplicación obsoleta, el atacante selecciona la opción de restauración de contraseña y captura la solicitud mediante un proxy web. Entonces seleccionan a una víctima y envían una solicitud al servidor del servicio cargando el identificador o el nombre de usuario exclusivo del objetivo. El servidor devuelve una respuesta en formato JSON con la información personal de la víctima, incluyendo datos confidenciales, como el correo electrónico y el número de teléfono.

Instagram App.

Los ataques resultan bastante laboriosos: cada uno debe hacerse manualmente, ya que Instagram utiliza cálculos matemáticos para evitar que los atacantes automaticen el formulario de solicitud.
Los hackers fueron vistos en un foro clandestino, intercambiando credenciales personales por perfiles de celebridades en la red social.

La compañía declaró -además- que el error ya fue corregido, están siguiendo una investigación sobre esta vulneración y ninguna contraseña fue expuesta.

Lee:  Advierten aumento de grooming (acoso pederasta) durante la cuarentena

Te interesará ver

Advierten aumento de grooming (acoso pederasta) durante la cuarentena

OhMyGeek!

Grupo cibercriminal Winnti ataca a desarrolladores de videojuegos MMO

OhMyGeek!

Ofrecen falsos bonos de combustible en Shell por Whatsapp y todo es una estafa

OhMyGeek!

El 73% de quienes hacen teletrabajo no han recibido orientación en ciberseguridad

OhMyGeek!

Diariamente se crean casi 2.000 páginas falsas sobre Coronavirus según informe

OhMyGeek!

Por más de 5 años «PhantomLance» ha atacado dispositivos con Android para espiarlos

OhMyGeek!

Deja un comentario

También compártelo en:
Send this to a friend