Des comptes Instagram de célébrités ont été piratés
Cette semaine, Instagram a confirmé qu'un bug a permis à des personnes malveillantes de se connecter au compte Instagram vérifiés de célébrités. Selon la société cela ne concernerait qu'un nombre restreint de comptes.
La faille a été comblée et n'a pas été communiquée.
Des chercheurs de Kaspersky Lab ont remonté cette faille:
Les chercheurs ont ainsi remarqué que la vulnérabilité s’était logée dans la version mobile d’Instagram 8.5.1, lancée en 2016 (la version actuelle est 12.0.0). La procédure d’attaque est relativement simple : en utilisant la version obsolète de l’application, les cybercriminels ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un Proxy web. Ensuite, ils ont sélectionné une victime et envoyé une requête au serveur d’Instagram sous le nom d’utilisateur ou l’identifiant de la victime. Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email.
Les attaques ont nécessité beaucoup de travail puisque chacune d’entre-elles a dû être réalisée manuellement dans la mesure où Instagram utilise des calculs mathématiques pour empêcher les cybercriminels d’automatiser les formulaires de demandes.
Les cybercriminels ont pu être repérés sur un forum clandestin, où ils revendaient les données d’identification des comptes de célébrités.
On ignore le nombre de comptes touchés, mais a priori seuls des VIP ou personnes dignes d'intérêt ont été ciblées. Les pirates ont maintenant accès à leurs données personnelles enregistrées, qui sont en vente...