Una falla de seguridad en la red social Instagram fue reportada en agosto por el investigador israelí conocido como @ZHacker13 en Twitter. El error permitía que los atacantes accedieran a datos privados de usuarios como sus nombres y números de teléfono.
Facebook, propietaria de la aplicación de fotografías, confirmó la existencia de la vulnerabilidad. Sin embargo, también aseguró que ya lograron solucionarla.
Según @ZHacker13, entre agosto y septiembre de este año Instagram ha expuesto los datos de los usuarios en dos oportunidades. En ambas ocasiones las fallas conducen al mismo lugar: una brecha a través de la cual se puede acceder a millones de datos de los usuarios de la red social. Solo depende de quien los obtenga el uso que se les dé.
¿Cómo fue descubierto?
El investigador @ZHacker13 identificó que el talón de Aquiles de la plataforma era el importador de contactos. Dicha función permite mantener entrelazadas las redes sociales del usuario, que a su vez, podía ser atacado a través del inicio de sesión de Instagram.
Entonces, con una combinación de algoritmos simples y múltiples procesos simultáneos, a través de ‘bots’, el atacante usa un número de teléfono incompleto, elegido al azar. Luego, puede forzar el formulario de inicio de sesión de Instagram y su sincronización de contactos. En la respuesta del formulario se hallaba que la plataforma completaba el numero consultado y también retornaban datos asociados al mismo.
Este mismo proceso realizado automáticamente por miles de ‘bots’ hacía factible llegar a obtener millones de datos de la red social, explica El Tiempo de Colombia.
Por su parte, Lukas Stefanko, un investigador de la firma de seguridad informática Eset, confirmó la magnitud y la veracidad de la falla reportada por @ZHacker13 a Facebook.