Instagram è una piattaforma aperta ad ogni tipo di vulnerabilità. I tuoi dati non sono al sicuro, compresi i tuoi scatti. Lo ha provato un ricercatore freelance che ha rilasciato un elenco esaustivo dei dati degli utenti che possono essere recuperati da chiunque.
Instagram Hack, nessuno è al sicuro
Instagram è la piattaforma per photo-sharing di certo più apprezzata al mondo. Con un numero ingente di seguaci in tutto il mondo, fornisce un hub interattivo per immagini e selfie in costante aggiornamento. Ma non è tutto oro quello che luccica.
Un ricercatore senior della Synack Security, tale Wesley Weinberg, ha infatti scoperto un ragguardevole numero di vulnerabilità all’interno del servizio, pregiudizievole di lasciare un profondo buco sul fronte della sicurezza dei dati degli utenti e della privacy.
Difetti di configurazione e server potenzialmente vulnerabili ad attacchi (sensu.instagram.com) hanno permesso al ricercatore di ottenere l’accesso ai dati sensibili, tra cui figurano:
- Codice Sorgente del Sito Instagram
- Certificati SSL e chiavi private
- Chiavi per le firme di autenticazione dei cookies
- Dati personali di dipendenti Instagram ed utenti
- Credenziali di accesso per i server-mail
Rilevata inoltre almeno un’altra dozzina di funzioni compromesse sensibili nei confronti dell’aspetto privacy e sicurezza dati. Il ricercatore, in particolare, ha portato alla luce un bug nel sistema RCE (Remote Code Execution) utilizzato dagli utenti per accedere alle funzioni del sito attraverso i cookies.
Ciò è avvenuto grazie a due punto deboli rilevati nella gestione del sistema di accesso:
- L’applicazione web Sensu-Admin in esecuzione sul server conteneva un token segreto di Ruby hard-coded
- L’host che esegue la versione di Ruby (3.x), era suscettibile riguardo all’ esecuzione di codice attraverso il cookie di sessione di Ruby
Sfruttando le vulnerabilità, Weinberg è riuscito ad ottenere i dati di accesso per le credenziali di accesso a Facebook ed Instagram di alcuni dipendenti prelevandoli dal vasto database compromesso. Inoltre, anche se in possesso di codifica bcrypt, il ricercatore è stato comunque in grado di accedere ad alcuni account che utilizzavano password comuni come changeme, instagram, password dopo appena pochi minuti.
Pericolo Instagram, i tuoi selfie non sono al sicuro
Il ricercatore non si è limitato a quanto sopra esposto ma ha voluto esplorare gli Amazon Web Services, utilizzati per ospitare l’installazione di Sensu Instagram. Ha così trovato ben 82 chiavi di lettura nella versione precedente del file compromettendo così i pacchetti.
In particolare ha rilevato:
- Source Code Instagram
- Chiavi e Certificati SSl per instagram.com
- Tasti API per l’interazione con altri servizi
- Contenuto Statico del sito
- Immagini caricate dagli utenti
- Credenziali e-mail
- Chiavi di Firma iOS ed Android
- Dati sensibili riconducibili agli utenti
Instagram Bug, il seguito
A seguito delle scoperte il team di sicurezza Facebook ha deciso di querelare il dipendente che ha messo alla luce gli inquietanti deficit di sicurezza della piattaforma ritirando poi le accuse giustificandosi attraverso un comunicato che metteva in luce la volontà di non sporgere denuncia per le azioni intraprese a patto di una non divulgazione pubblica delle scoperte.
Tuttavia, Facebook ha deciso poi di premiare con $2500 il lavoro svolto da Weinberg, accusato di aver violato i dati privati degli utenti e dei dipendenti della piattaforma online.
Instagram non è sicuro: voi cosa ne pensate? Lasciate un commento e condividete l’articolo sui vari social network. Fonte: TheHackerNews
