Une faille de sécurité qui permettait à un attaquant d'accéder aux informations du compte, telles que le numéro de téléphone complet d'un utilisateur et le nom réel des utilisateurs d'Instagram, a été découverte. Facebook, qui a déjà confirmé l'existence de la vulnérabilité, a déjà corrigé la faille.
La découverte de ce bug a eu lieu en août et est le travail du chercheur @ZHacker13. Selon le réseau social lui-même, l'exploitation du bogue aurait pu permettre à un acteur malveillant d'associer des numéros de téléphone aux coordonnées de l'utilisateur et de faire un usage abusif de ces informations, ce qui représentait un risque pour les utilisateurs. La seule chose dont un attaquant aurait pu avoir besoin pour affecter un utilisateur aurait été de lier ces données.
Par coïncidence, au début du mois de septembre, une base de données mal configurée a été découverte, contenant une liste de numéros de téléphone et de noms d'utilisateurs composée de 419 millions d'utilisateurs Facebook dans le monde entier. Et il y a environ une semaine, le chercheur ZHacker13 a expliqué au journaliste de Forbes Zak Doffman qu'il avait détecté une vulnérabilité dans Instagram qui échapperait aux mécanismes de sécurité de la plate-forme. Il permettrait en outre d'accéder à un type de base de données similaire à celui connu récemment, ce qui permettrait à un acteur malveillant d'abuser de cette information constituée d'une longue liste de numéros de téléphone, d'identifiants d'utilisateurs, de noms d'utilisateurs et de noms réels.
Le chercheur a expliqué aux médias qu'un attaquant pouvait profiter de cette faille de sécurité et échapper aux mécanismes qui protègent ces données en utilisant une armée de robots et de processeurs pour créer une base de données accessible et attaquable pour les utilisateurs.
Le problème venait de l'importateur de contact de la plateforme, qui, combiné à une attaque brutale sur son formulaire de connexion, a révélé l'existence de la vulnérabilité, explique l'article. Selon un porte-parole de Facebook, l'entreprise a modifié l'importateur de contact dans Instagram pour éviter tout abus de ce bug.
Pour comprendre l'ampleur de la découverte, le chercheur a partagé avec le journaliste des détails sur la façon dont la vulnérabilité pourrait être exploitée et a assuré qu'avec une puissance de traitement suffisante, il serait possible de créer une base de données composée des numéros de téléphone et des données de millions d'utilisateurs d'Instagram.
À son tour, le journaliste a partagé l'information avec le chercheur d’ESET Lukas Stefanko, qui a validé l'explication et confirmé que c'était possible.
Au départ, Facebook a dit à l'enquêteur que même si la vulnérabilité était grave, l'entreprise était déjà au courant du bogue et ne serait pas récompensée pour son programme bugbounty. Le réseau social a cependant inversé ses pas et reconsidéré sa décision et récompensera finalement @ZHacker13 pour avoir signalé le bug.