האקרים: גנבנו מידע מ-6 מיליון חשבונות אינטסגרם
תוקפים שניצלו פרצה בגרסה ישנה של האפליקציה הצליחו להשיג מספרי טלפון וכתובות אימייל של משתמשים, ובהם חשבונות של מפורסמים רבים; אינסטגרם: הפרצה נחסמה, ולא דלפו ססמאות
האקרים טוענים כי הצליחו להשיג את פרטיהם של יותר משישה מיליון משתמשים באינסטגרם - בהם מפורסמים רבים הפרצה באפליקציה לא אפשרה לתוקפים להשתלט באופן מלא על החשבון, אבל היא איפשר להם לאסוף את כתובות האימייל ומספרי הטלפון של חלק מהמשתמשים.
אינסטגרם אישרה בתחילה כי בעיה שהתגלתה באפליקציה הובילה לחשיפת חשבונות "בפרופיל גבוה", אבל החברה שבבעלות פייסבוק דיברה בתחילה על חשבון אחד או יותר שנפגעו - רחוק מהמספרים עליהם דיברו התוקפים.
לדברי חברת האבטחה קספרסקי, התוקפים הצליחו להשיג פרטים רבים של מפורסמים. בדיילי ביסט דווח כי בין החשבונות היו גם כאלה שנראה שהם קשורים לכדורגלן כריסטיאנו רונלדו, ולמפעיל של חשבון הרשמי של נשיא ארצות הברית. זאת בין היתר מפני שהם התמקדו בחשבונות שלהם מיליון עוקבים ומעלה.
ההודאה הראשונה של אינסטגרם הגיעה זמן לא רב אחרי שהתברר כי חשבונה של הזמרת סלינה גומז נפרץ, והועלו אליו תמונות עירום של ג'סטין ביבר - אם כי פרסומים שונים ציינו כי אין ביטחון מלא כי מדובר באירוע קשור.
בהודעתה בסוף השבוע, לאחר שהתברר כי מדובר באירוע רחב יותר, מסרה אינסטגרם כי היא גילתה לאחרונה פרצה "שיכלה לשמש לגשת לכתבות האימייל ומספרי הטלפון של אנשים, אפילו אם הם לא הוגדרו כפתוחים לציבור. שום ססמאות או פעילות אינסגרם אחרת לא נחשפו", הדגישה החברה.
"תיקנו את בעיה במהירות, ואנחנו עובדים עם כוחות אכיפת חוק על הנושא. למרות שאנחנו לא יכולים איזה חשבונות ספיציפיים הושפעו, אנו מאמינים שמדובר באחוז נמוך מחשבונות אינסטגרם".
קשה לאשר באופן עצמאי את המספרים עליהם מדברים התוקפים, אבל כאשר מדובר באפליקציה עם כ-700 מיליון משתמשים ברחבי העולם, גם שישה מיליון משתמשים הם אחוז נמוך מתוכם.
מומחה: המידע נראה אמין
כדי להוכיח שהם מחזיקים במידע ממספר רב של חשבונות התוקפים שלחו לדיילי ביסט רשימה ובה פרטים שאספו לדבריהם מכאלף חשבונות, בעוד שלאתר Ars Technica הם שלחו מידע מכ-10,000 חשבונות.
טרוי האנט, חוקר אבטחה שמפעיל את שירות Have I been Pwnd שמנטר דליפות מידע לרשת, אמר ל-Ars Technica כי נראה שהמידע אותנטי ולא מדובר במידע ממוחזר, שנאסף ממקורות גלויים ברשת, כפי שקורה פעמים רבות. "זו המסקנה שלי שאין פה שום דבר שיכול להפריך את המידע. זה אפשרי שזה קובץ ממקורות שונים, אבל כל אינדיקציה היא שזה לגיטימי וכי הווקטור שכתבתם עליו מוקדם יותר הוא אפשרי לחלוטין, ובהחלט לא חסר תקדים".
ההאקרים פתחו אתר בשם Doxagram (השם הוא שילוב של אינסטגרם והכינוי לחשיפת מידע: Doxxing) ובו הציעו לכל מי שרוצה בכך לחפש במידע תמורת תשלום בגובה של כ-10 דולר. האתר נסגר כעבור זמן מה, אבל התוקפים מסרו לאתר Ars Technica כי הם הצליחו להכניס כ-500 דולר מ-12 עסקאות שונות.
התוקפים: הפרצה נחסמה רק אחרי 12 שעות
לדברי חברת האבטחה קספרסקי, הבעיה התגלתה בגרסה ישנה של אפליקציית אינסטגרם. "ההאקרים הפעילו את הגרסה הישנה של האפליקציה על מכשיר טלפון תומך, ובמהלך התקשרות עם שרת אינסטגרם הפעילו פרוקסי אשר מקליט את התעבורה בין הטלפון לבין השרת", מסרה החברה.
"השרת מכיל ממשק (API) פגיע המגיב רק לאותה גרסה של האפליקציה, בפונקציה מסוימת במהלך חידוש סיסמת המשתמש. ההאקרים נכנסו לפונקציית חידוש הסיסמא, "תפסו" את הקריאה לאותה פונקציה וערכו אותה כך שכל פעם תכיל שם משתמש אחר אשר ברצונם לשלוף את המידע עליו. כאשר שם המשתמש נמצא במסד של אינסטגרם, השרת יחזיר את המידע הרגיש כחלק מהתהליך".
עידו נאור, חוקר בכיר במעבדת קספרסקי, מסר כי "זמן קצר מאוד לאחר אימות הנתונים, שיתפנו עם אינסטגרם דו"ח מפורט הכולל מידע טכני על הצעדים שבהם יש לנקוט על מנת לשחזר ולאמת את פרצת האבטחה". נאור הוסיף, כי למחלקת ההונאות המקוונות באינסטגרם הועברו גם פרטים אשר סייעו להם באימות זהותם של ההאקרים.
ההאקרים אמרו כי שמעו על הבעיה בדיון ב-IRC, ולדבריהם באופן פוטנציאלי, התוכנה שיצרו כדי לנצל את הפרצה היתה יכולה לאפשר להם לאסוף כמיליון חשבונות בשעה.
לדבריהם, אינסטגרם חסמה את הפרצה 12 שעות לאחר שהם החלו להפעיל את התוכנה לליקוט ההמוני של המידע.