Una falla de seguridad en Instagram ha dado lugar a que cibercriminales roben la información personal de millones de usuarios de Instagram, incluyendo celebridades, y la utilicen para construir una base de datos de 10.000 personas que han puesto a disposición de cualquiera que esté dispuesto a pagar por ella.
Los atacantes afirman que aprovecharon una falla en la interfaz de programación de Instagram para robar los números de teléfono y direcciones de correo electrónico de más de 6 millones de usuarios, 500 de los cuales está confirmado que son usuarios verificados y celebridades como Miley Cyrus, Beyoncé, Leonardo DiCaprio, Emma Watson y el boxeador Floyd Mayweather.
El ataque se dio a conocer con la intrusión a la cuenta oficial de Instagram de la cantante Selena Gómez. Los hackers aprovecharon que tenían control sobre su cuenta para publicar en ella imágenes y videos pornográficos de la artista con su novio, Justin Bieber.
Pero la humillación pública de sus víctimas no fue suficiente para los cibercriminales, que se dieron el trabajo de poner la información robada en una biblioteca bien organizada para facilitar su búsqueda por parte de cualquier comprador que quiera adquirir la información de contacto de su celebridad favorita por sólo 10 US$ pagados en bitcoins.
La vulnerabilidad se parchó el martes, cuando los expertos en seguridad de Kaspersky Lab alertaron a Instagram sobre la amenaza en privado. Los analistas de Kaspersky explicaron que el exploit exigía mucho esfuerzo por parte de los atacantes, ya que tenían que realizar cada ataque de forma manual para evitar el uso de los scripts automáticos que habrían levantado sospechas en las tecnologías de seguridad que Instagram utiliza para protegerse de las intrusiones.
Para explotar la vulnerabilidad, los atacantes utilizaron la opción de restaurar la contraseña de una versión antigua de la aplicación, la versión 8.5.1, pero el ataque afectaba a cualquier usuario de Instagram sin importar la versión de la aplicación que usara. Los atacantes enviaron una solicitud de restauración de contraseña mediante un proxy de la web en vez de usar los servidores de Instagram. Los atacantes modificaron las solicitudes capturadas para cambiar el nombre de usuario que se enviaba al proxy por el nombre de usuario de las celebridades. Como consecuencia, el servidor de Instagram enviaba una respuesta JSON con la información personal del usuario.
“Tomamos la seguridad con mucha seriedad y estamos trabajando de la mano de las autoridades en este conflicto”, dijo Instagram en respuesta al incidente. “Recomendamos a los usuarios que sean cautelosos con la seguridad de sus cuentas y estén atentos ante cualquier actividad sospechosa como llamadas de números desconocidos, mensajes de texto y correos electrónicos”.
Fuentes
Instagram flaw lets hackers sell celebrities’ data at $10 a pop Cnet
Celebs’ phone numbers and e-mail addresses exposed in active Instagram hack Ars Technica
Hackers claim to have personal info of millions of Instagram accounts, including celebs Tech Crunch
Hackers roban los datos de contacto de 500 celebridades de Instagram y los venden por 10 US$