Сайт Doxagram распродает личные данные миллионов пользователей Instagram, утекшие в результате недавней эксплуатации уязвимости в мобильных API сервиса. По разным оценкам, хакерам удалось собрать данные от шести до двухсот миллионов аккаунтов Instagram.
Ваш пароль сбросился не туда
Сайт Doxagram распродает оптом и в розницу персональные данные пользователей Instagram, похищенные в результате недавнего взлома сервиса.
Как стало известно, уязвимость в системе сброса пароля в мобильных API Instagram позволила злоумышленникам получить доступ к персональным данным миллионов пользователей — в частности, их мобильным телефонам и почтовым адресам. Используя специальную программу, хакеры собрали похищенные сведения в единую базу, которая и была размещена на Doxagram. Как заявил в интервью Ars Technica один из участников взлома, их программа способна собирать данные с миллиона аккаунтов каждый час.
Хакер предоставил изданию выборку, насчитывающую данные из 10 тыс. аккаунтов — из них 9911 включали либо телефонный номер, либо адрес электронной почты; 5341 включали телефонный номер, 4341 — и телефонный номер, и почтовый адрес.
Изначально злоумышленники (которые утверждают, что они из России) планировали собирать данные только из аккаунтов знаменитостей — тех, у кого в подписчиках миллионы людей. Но затем они решили собирать данные и менее популярных аккаунтов.
«Интерфейс для восстановления доступа к аккаунту является крайне распространенной «входной точкой» для получения дополнительной информации об аккаунте жертвы. В подобных случаях передаются и персональные данные (например, номер телефона и адрес электронной почты), что нарушает основы обеспечения их безопасности, — поясняет Валерий Тюхменев, эксперт по информационной безопасности компании SEC Consult Services. — Также остается открытым вопрос, почему команда Instagram, учитывая, что аналогичные атаки случаются регулярно, не провела на должном уровне анализ защищенности своего продукта по данному вектору. В целях предотвращения таких инцидентов рекомендуется регулярно проводить аудит информационной безопасности».
От шести до двухсот миллионов
Злоумышленники продают данные из 6 млн аккаунтов. За сведения из каждого индивидуального аккаунта просят около $10 (в пересчете на биткоины). Хакеры утверждают также, что в их распоряжении есть «полная» база, насчитывающая 200 млн аккаунтов Instagram, но ее они готовы продавать только тем, кто уже потратил на Doxagram $5 тыс.
Факт взлома сервиса стал очевиден после того, как злоумышленники перехватили контроль над аккаунтом известной актрисы Селены Гомес и выложили на нем фотографии певца Джастина Бибера в неглиже. По некоторым сведениям, хакеры также смогли «угнать» сведения из аккаунта президента США, который ведет специальная группа SMM-специалистов.
Instagram наносит ответный удар
Instagram довольно оперативно исправил уязвимость и принес извинения пользователям, хотя пострадавшим от взломов это не слишком поможет.
Сейчас владельцы Instagram ведут активную борьбу с Doxagram, добиваясь закрытия доменов, на которых этот сайт появляется. В порядке своеобразной профилактики Instagram уже выкупил 280 доменов, в названии которых фигурирует слово Doxagram, надеясь сократить злоумышленникам пространство для маневра.