На российском сайте распродаются личные данные из миллионов аккаунтов Instagram

Сайт Doxagram распродает личные данные миллионов пользователей Instagram, утекшие в результате недавней эксплуатации уязвимости в мобильных API сервиса. По разным оценкам, хакерам удалось собрать данные от шести до двухсот миллионов аккаунтов Instagram.

Ваш пароль сбросился не туда

Сайт Doxagram распродает оптом и в розницу персональные данные пользователей Instagram, похищенные в результате недавнего взлома сервиса.

Как стало известно, уязвимость в системе сброса пароля в мобильных API Instagram позволила злоумышленникам получить доступ к персональным данным миллионов пользователей — в частности, их мобильным телефонам и почтовым адресам. Используя специальную программу, хакеры собрали похищенные сведения в единую базу, которая и была размещена на Doxagram. Как заявил в интервью Ars Technica один из участников взлома, их программа способна собирать данные с миллиона аккаунтов каждый час. 

Хакер предоставил изданию выборку, насчитывающую данные из 10 тыс. аккаунтов — из них 9911 включали либо телефонный номер, либо адрес электронной почты; 5341 включали телефонный номер, 4341 — и телефонный номер, и почтовый адрес.

Изначально злоумышленники (которые утверждают, что они из России) планировали собирать данные только из аккаунтов знаменитостей — тех, у кого в подписчиках миллионы людей. Но затем они решили собирать данные и менее популярных аккаунтов. 

«Интерфейс для восстановления доступа к аккаунту является крайне распространенной "входной точкой" для получения дополнительной информации об аккаунте жертвы. В подобных случаях передаются и персональные данные (например, номер телефона и адрес электронной почты), что нарушает основы обеспечения их безопасности, — поясняет Валерий Тюхменев, эксперт по информационной безопасности компании SEC Consult Services. — Также остается открытым вопрос, почему команда Instagram, учитывая, что аналогичные атаки случаются регулярно, не провела на должном уровне  анализ защищенности своего продукта по данному вектору. В целях предотвращения таких инцидентов рекомендуется регулярно проводить аудит информационной безопасности».

От шести до двухсот миллионов

Злоумышленники продают данные из 6 млн аккаунтов. За сведения из каждого индивидуального аккаунта просят около $10 (в пересчете на биткоины). Хакеры утверждают также, что в их распоряжении есть «полная» база, насчитывающая 200 млн аккаунтов Instagram, но ее они готовы продавать только тем, кто уже потратил на Doxagram $5 тыс.

Факт взлома сервиса стал очевиден после того, как злоумышленники перехватили контроль над аккаунтом известной актрисы Селены Гомеси выложили на нем фотографии певца Джастина Биберанеглиже. По некоторым сведениям, хакеры также смогли «угнать» сведения из аккаунта президента США, который ведет специальная группа SMM-специалистов.

Instagram наносит ответный удар

Instagram довольно оперативно исправил уязвимость и принес извинения пользователям, хотя пострадавшим от взломов это не слишком поможет.

Сейчас владельцы Instagram ведут активную борьбу с Doxagram, добиваясь закрытия доменов, на которых этот сайт появляется. В порядке своеобразной профилактики Instagram уже выкупил 280 доменов, в названии которых фигурирует слово Doxagram, надеясь сократить злоумышленникам пространство для маневра.