Kaspersky Lab découvre le bug d’Instagram à l’origine du vol de données

2

En début de semaine, un bug Instagram a permis à des groupes de cybercriminels de dérober les images et les informations en provenance des comptes de certaines célébrités, comme l’ont reporté certains médias à travers le monde.

Si la faille de sécurité aurait depuis été corrigé, des recherches étaient en cours pour essayer de comprendre la source de ces dysfonctionnement, et l’origine des pirates. Les chercheurs de Kaspersky Lab révèlent les méthodes grâce auxquelles les hackers ont pu se procurer les informations confidentielles des utilisateurs.

Comme l’a indiqué Instagram hier, des cybercriminels ont exploité une faille d’Instagram qui leur a permis de voler les droits de certains utilisateurs de l’application, et notamment des célébrités. Les chercheurs de Kaspersky Lab qui ont remarqué le dysfonctionnement, en ont informé Instagram mardi 29 août et lui ont fait part de leur analyse technique.

Les chercheurs ont ainsi remarqué que la vulnérabilité s’était logée dans la version mobile d’Instagram 8.5.1, lancée en 2016 (la version actuelle est 12.0.0). La procédure d’attaque est relativement simple : en utilisant la version obsolète de l’application, les cybercriminels ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un Proxy Web. Ensuite, ils ont sélectionné une victime et envoyé une requête au serveur d’Instagram via l’API fournie avec le nom d’utilisateur ou l’identifiant de la victime. Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email.

Les attaques ont nécessité beaucoup de travail puisque chacune d’entre-elles a dû être réalisée manuellement dans la mesure où Instagram utilise des calculs mathématiques pour empêcher les cybercriminels d’automatiser les formulaires de demandes.

Les cybercriminels ont pu être repérés sur un forum clandestin, ou ils revendaient les données d’identification des comptes de célébrités.

Kaspersky Lab conseille les utilisateurs qui utilisent encore des anciennes versions de l’application de les mettre immédiatement à jour vers la version la plus récente d’Instagram. Un autre conseil : pour être en sécurité sur les réseaux sociaux, il est important d’utiliser des adresses emails différentes pour chacun des réseaux et de reporter toute activité irrégulière auprès du réseau social. Plus important encore, en cas de réception d’emails de réinitialisation d’un mot de passe dont l’utilisateur n’est pas à l’origine, prévenir immédiatement le réseau social.

2 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.