Независимый ИБ-специалист под ником ZHacker13 обнаружил уязвимость соцсети Instagram, которая позволяла автоматически собирать данные ее пользователей. Представители сервиса несколько недель не могли устранить угрозу и начали активно работать над решением только после обращения журналиста Forbes.

Как рассказал исследователь, его схема атаки построена на багах служб авторизации и импорта контактов в Instagram. С ее помощью можно собрать из разрозненных источников в единую базу настоящие имена пользователей, данные их аккаунтов, полные телефонные номера.

Сценарий атаки на пользователей Instagram

На первом этапе злоумышленнику необходимо найти телефонные номера, к которым привязаны реальные учетные записи. Их можно выявить, проставляя разные комбинации цифр в форму авторизации Instagram — по результатам запроса на этой странице сразу станет понятно, есть ли тот или иной номер в базах сервиса.

Процесс можно легко автоматизировать, собирая ежедневно более 1000 актуальных номеров телефонов. ZHacker13 также уточнил, что при использовании параллельно работающих ботов эта цифра увеличивается практически до бесконечности.

Имея на руках списки номеров, злоумышленник связывает их с соответствующими учетными записями через систему импорта контактов. Как пояснил исследователь, Instagram предлагает каждому новому пользователю синхронизировать контакты, чтобы найти знакомых, которые уже зарегистрированы в соцсети. Если сервис обращается к настоящему списку контактов, по предлагаемому списку невозможно установить, какой номер привязан к той или иной учетной записи. Однако в сценарии ZHacker13 предлагаемая записная книжка содержала всего один телефон, поэтому злоумышленник мог установить параллель и собрать данные в базу.

Разработчики Instagram разрешают каждому пользователю ежедневно отправлять не более трех запросов на синхронизацию аккаунтов. Использование множества ботов позволяет обойти и этот лимит, после чего единственное, что ограничивает аппетит злоумышленников — это доступные вычислительные мощности. По расчетам ZHacker13, его метод позволял в приемлемые сроки и без значительных затрат собрать информацию миллионов пользователей.

Реакция разработчиков Facebook

В начале августа эксперт сообщил о своей находке компании Facebook, которая владеет Instagram. Те заявили, что не считают серьезной угрозой возможность уточнить, привязан ли к какой-либо учетной записи конкретный телефон или электронный адрес. В то же время разработчики признали, что если уязвимость позволяет узнать контакты конкретного пользователя, то она может представлять опасность.

Тем не менее, Facebook отказала ZHacker13 в вознаграждении в рамках программы по поиску багов. В компании сказали, что ее собственные специалисты ранее обнаружили проблему и уже работают над ее решением. Когда спустя несколько недель эксперт обнаружил, что уязвимость все еще не закрыта, он продемонстрировал  работоспособность PoC-атаки колумнисту Forbes.

Получив запрос журналиста, сотрудники Facebook пересмотрели свою позицию о выплате вознаграждения и попросили повременить с публикацией до тех пор, пока разработчики не исправят ошибку.

Репортер Forbes отметил, что находка указывает на более серьезные риски, нежели уязвимость отдельного веб-сервиса. По его мнению, в будущем можно ждать новых кибератак с использованием пользовательских телефонных номеров, поскольку они все чаще используются для авторизации в приложениях и сервисах.

Ранее в этом месяце исследователи обнаружили в открытом доступе базы с данными 419 млн пользователей Facebook. Опубликованные сведения включали идентификаторы аккаунтов, привязанные к ним номера телефонов, имена, пол, страну проживания. Представители соцсети заявили, что утечка произошла из-за сторонней организации, а скомпрометированная информация к этому моменту уже устарела.

Категории: Уязвимости