Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Компании понадобилось несколько недель, чтобы закрыть возможность для автоматического сбора личных данных.
Независимый ИБ-специалист под ником ZHacker13 обнаружил уязвимость соцсети Instagram, которая позволяла автоматически собирать данные ее пользователей. Представители сервиса несколько недель не могли устранить угрозу и начали активно работать над решением только после обращения журналиста Forbes.
Как рассказал исследователь, его техника была построена на багах служб авторизации и импорта контактов в Instagram. С ее помощью можно было собрать из разрозненных источников в единую базу настоящие имена пользователей, данные их аккаунтов, полные телефонные номера.
На первом этапе злоумышленнику необходимо было найти телефонные номера, к которым привязаны реальные учетные записи. Для этого он мог проставлять разные комбинации цифр в форму авторизации Instagram — по результатам запроса на этой странице можно понять, есть ли тот или иной номер в базах сервиса.
Процесс можно было легко автоматизировать, собирая ежедневно более 1000 актуальных номеров телефонов. Эксперты также уточняют, что при использовании параллельно работающих ботов эта цифра могла увеличиваться практически до бесконечности.
Имея на руках списки номеров, злоумышленник мог связать их с соответствующими учетными записями через систему импорта контактов. Как пояснил ZHacker13, Instagram предлагает каждому новому пользователю синхронизировать контакты, чтобы найти знакомых, которые уже зарегистрированы в соцсети. Если сервис обращается к настоящему списку контактов, по предлагаемому списку невозможно установить, какой номер привязан к той или иной учетной записи. Однако в сценарии ZHacker13 предлагаемая записная книжка содержала всего один телефон, поэтому злоумышленник мог установить параллель и собрать данные в базу.
Разработчики Instagram разрешают каждому пользователю ежедневно отправлять не более трех запросов на синхронизацию аккаунтов. Использование множества ботов позволяло обойти и этот лимит, после чего единственное, что ограничивало аппетит злоумышленников — это доступные вычислительные мощности. По расчетам ZHacker13, его метод позволял в приемлемые сроки и без значительных затрат собрать информацию миллионов пользователей.
В начале августа эксперт сообщил о своей находке компании Facebook, которая владеет Instagram. Те заявили, что не считают серьезной угрозой возможность уточнить, привязан ли к какой-либо учетной записи конкретный телефон или электронный адрес. В то же время разработчики признали, что если уязвимость позволяет узнать контакты конкретного пользователя, то она может представлять опасность.
Тем не менее, Facebook отказала ZHacker13 в вознаграждении в рамках программы по поиску багов. В компании сказали, что ее собственные специалисты ранее обнаружили проблему и уже работают над ее решением. Когда спустя несколько недель уязвимость так и оставалась актуальной, эксперт продемонстрировал ее работоспособность колумнисту Forbes.
Получив запрос журналиста, сотрудники Facebook пересмотрели свою позицию о выплате вознаграждения и попросили повременить с публикацией до тех пор, пока разработчики не исправят ошибку.
Эксперт Forbes указал, что этот инцидент указывает на более серьезные риски, нежели уязвимость отдельного веб-сервиса. По его мнению, в будущем можно ждать новых кибератак с использованием пользовательских телефонных номеров, поскольку они все чаще используются для авторизации в приложениях и сервисах.
Ранее в этом месяце исследователи обнаружили в открытом доступе базы с данными 419 млн пользователей Facebook. Опубликованные сведения включали идентификаторы аккаунтов, привязанные к ним номера телефонов, имена, пол, страну проживания. Представители соцсети заявили, что утечка произошла из-за сторонней организации, а скомпрометированная информация к этому моменту уже устарела.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |