SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Instagram устранил угрозу приватности пользователей

16 сентября 2019 г., понедельник, 16:42

Компании понадобилось несколько недель, чтобы закрыть возможность для автоматического сбора личных данных.

Независимый ИБ-специалист под ником ZHacker13 обнаружил уязвимость соцсети Instagram, которая позволяла автоматически собирать данные ее пользователей. Представители сервиса несколько недель не могли устранить угрозу и начали активно работать над решением только после обращения журналиста Forbes.

Как рассказал исследователь, его техника была построена на багах служб авторизации и импорта контактов в Instagram. С ее помощью можно было собрать из разрозненных источников в единую базу настоящие имена пользователей, данные их аккаунтов, полные телефонные номера.

Сценарий атаки на пользователей Instagram

На первом этапе злоумышленнику необходимо было найти телефонные номера, к которым привязаны реальные учетные записи. Для этого он мог проставлять разные комбинации цифр в форму авторизации Instagram — по результатам запроса на этой странице можно понять, есть ли тот или иной номер в базах сервиса.

Процесс можно было легко автоматизировать, собирая ежедневно более 1000 актуальных номеров телефонов. Эксперты также уточняют, что при использовании параллельно работающих ботов эта цифра могла увеличиваться практически до бесконечности.

Имея на руках списки номеров, злоумышленник мог связать их с соответствующими учетными записями через систему импорта контактов. Как пояснил ZHacker13, Instagram предлагает каждому новому пользователю синхронизировать контакты, чтобы найти знакомых, которые уже зарегистрированы в соцсети. Если сервис обращается к настоящему списку контактов, по предлагаемому списку невозможно установить, какой номер привязан к той или иной учетной записи. Однако в сценарии ZHacker13 предлагаемая записная книжка содержала всего один телефон, поэтому злоумышленник мог установить параллель и собрать данные в базу.

Разработчики Instagram разрешают каждому пользователю ежедневно отправлять не более трех запросов на синхронизацию аккаунтов. Использование множества ботов позволяло обойти и этот лимит, после чего единственное, что ограничивало аппетит злоумышленников — это доступные вычислительные мощности. По расчетам ZHacker13, его метод позволял в приемлемые сроки и без значительных затрат собрать информацию миллионов пользователей.

Реакция разработчиков Facebook

В начале августа эксперт сообщил о своей находке компании Facebook, которая владеет Instagram. Те заявили, что не считают серьезной угрозой возможность уточнить, привязан ли к какой-либо учетной записи конкретный телефон или электронный адрес. В то же время разработчики признали, что если уязвимость позволяет узнать контакты конкретного пользователя, то она может представлять опасность.

Тем не менее, Facebook отказала ZHacker13 в вознаграждении в рамках программы по поиску багов. В компании сказали, что ее собственные специалисты ранее обнаружили проблему и уже работают над ее решением. Когда спустя несколько недель уязвимость так и оставалась актуальной, эксперт продемонстрировал ее работоспособность колумнисту Forbes.

Получив запрос журналиста, сотрудники Facebook пересмотрели свою позицию о выплате вознаграждения и попросили повременить с публикацией до тех пор, пока разработчики не исправят ошибку.

Эксперт Forbes указал, что этот инцидент указывает на более серьезные риски, нежели уязвимость отдельного веб-сервиса. По его мнению, в будущем можно ждать новых кибератак с использованием пользовательских телефонных номеров, поскольку они все чаще используются для авторизации в приложениях и сервисах.

Ранее в этом месяце исследователи обнаружили в открытом доступе базы с данными 419 млн пользователей Facebook. Опубликованные сведения включали идентификаторы аккаунтов, привязанные к ним номера телефонов, имена, пол, страну проживания. Представители соцсети заявили, что утечка произошла из-за сторонней организации, а скомпрометированная информация к этому моменту уже устарела.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.142
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.