Ваш пароль сбросился
не туда
Сайт Doxagram распродает оптом и в розницу персональные
данные пользователей Instagram, похищенные в результате недавнего взлома
сервиса.
Как стало известно, уязвимость в системе сброса пароля в
мобильных API Instagram позволила злоумышленникам получить доступ к
персональным данным миллионов пользователей — в частности, их мобильным
телефонам и почтовым адресам. Используя специальную программу, хакеры собрали
похищенные сведения в единую базу, которая и была размещена на Doxagram. Как
заявил в интервью Ars Technica один из участников взлома, их программа способна
собирать данные с миллиона аккаунтов каждый час.
Хакер предоставил изданию выборку, насчитывающую данные из
10 тыс. аккаунтов — из них 9911 включали либо телефонный номер, либо адрес
электронной почты; 5341 включали телефонный номер, 4341 — и телефонный номер, и
почтовый адрес.
Изначально злоумышленники (которые утверждают, что они из
России) планировали собирать данные только из аккаунтов знаменитостей — тех, у
кого в подписчиках миллионы людей. Но затем они решили собирать данные и менее
популярных аккаунтов.
Сайт Doxagram торгует частными данными из Instagram
«Интерфейс для восстановления доступа к аккаунту является
крайне распространенной «входной точкой» для получения дополнительной
информации об аккаунте жертвы. Бывает, что в таких ситуациях передаются и персональные данные
(например, в данном случае — это номер телефона и/или адрес электронной почты),
а это, в свою очередь, нарушает основы обеспечения их безопасности, —
поясняет Валерий Тюхменев, эксперт
по информационной безопасности компании SEC Consult Services. — Также остается
открытым вопрос, почему команда Instagram, учитывая, что аналогичные атаки
случаются регулярно, не провела на должном уровне анализ защищенности своего продукта по
данному вектору. В целях предотвращения таких инцидентов рекомендуется
регулярно проводить аудит информационной безопасности».
От шести до двухсот
миллионов
Злоумышленники продают данные из 6 млн аккаунтов. За
сведения из каждого индивидуального аккаунта просят около $10 (в пересчете на биткоины).
Хакеры утверждают также, что в их распоряжении есть «полная» база,
насчитывающая 200 млн аккаунтов Instagram, но ее они готовы продавать только
тем, кто уже потратил на Doxagram $5 тыс.
Факт взлома сервиса стал очевиден после того, как
злоумышленники перехватили контроль над аккаунтом известной актрисы Селены Гомес и выложили на нем
фотографии певца Джастина Бибера
неглиже. По некоторым сведениям, хакеры также смогли «угнать» сведения из
аккаунта президента США, который ведет специальная группа SMM-специалистов.
Instagramнаносит
ответный удар
Instagram довольно оперативно исправил уязвимость и принес
извинения пользователям, хотя пострадавшим от взломов это не слишком поможет.
Сейчас владельцы Instagram ведут активную борьбу с Doxagram,
добиваясь закрытия доменов, на которых этот сайт появляется. В порядке
своеобразной профилактики Instagram уже выкупил 280 доменов, в названии которых
фигурирует слово Doxagram, надеясь сократить злоумышленникам пространство для
маневра.