Instagram ha ammesso pubblicamente il 30 agosto che un hacker è stato in grado di ottenere l’accesso non autorizzato a una piccola quantità di informazioni degli utenti. Il servizio del social network ha notato che ha già risolto la vulnerabilità che era la causa dell’attacco.
«Recentemente abbiamo scoperto che uno o più individui hanno ottenuto un accesso illecito a una serie di informazioni di contatto sensibili degli utenti di Instagram, in particolare indirizzo e-mail e numero di telefono, utilizzando un bug in un’Intertagram API», ha riferito un portavoce di Instagram.
Instagram ha aggiunto che nessuna password di account è stata diffusa e la vulnerabilità del software è stata fixata rapidamente. L’API (Application Programming Interface, API) fornisce un meccanismo per il codice per interagire con i servizi software di backend su una piattaforma. L’impatto dell’attacco sfruttando la vulnerabilità di API secondo Instagram è limitato a solo un numero limitato di utenti.
Risolta la vulnerabilità di Instagram
«A questo punto crediamo che questi attacchi siano stati destinati a profili importanti, quindi, per abbondanza di cautela, stiamo avvisando i titolari degli account verificati di questo problema», ha dichiarato Instagram. «Come sempre, incoraggiamo le persone a essere vigili sulla sicurezza dei loro account ed essere cauti se incontrano attività sospette, come chiamate in arrivo non riconosciute, testi e messaggi di posta elettronica».
Gli esperti di sicurezza contattati da eWEEK non sono stati sorpresi dall’incidente di sicurezza di Instagram o da un difetto API.
In molte brevi reclami, le password degli utenti vengono in qualche modo ottenute da un utente malintenzionato da utenti che non sospettano di ottenere l’accesso non autorizzato. Young-Sae Song, vicepresidente al Arctic Wolf, ha commentato che in questo incidente la colpa era di Instagram e non dell’utente.
Le API sono controllate e gestite da Instagram e sono fuori da ciò che un utente può influenzare. Tom Kellermann, CEO di Strategic Cyber Ventures ha notato che la protezione dell’API è spesso trascurata.
«L’errore più comune è quello di non valutare regolarmente API per le vulnerabilità e le configurazioni difettose una volta live», ha detto Kellermann, a eWEEK. «Spesso si dimentica che la codifica è un viaggio, non una destinazione».
Georgia Weidman, fondatore e CTO presso la società di test di penetrazione mobile Shevirah ha anche notato che le API spesso non vengono prese in considerazione adeguatamente nei test di sicurezza, che possono portare a vulnerabilità sfruttabili in un’applicazione altrimenti risulterebbe ultra sicura. Ha sottolineato che in qualunque modo gli utenti o anche solo i clienti possano interagire con un’applicazione, dovrebbero essere sottoposti a test di penetrazione o attacchi simulati da hacker benevoli, come una parte regolare del processo di sviluppo.
«Una violazione come questa è probabilmente trascurata da molti poiché nessuna password è stata violata», ha detto Weidman a eWEEK. «Ma soprattutto per gli individui di alto profilo (come ad esempio i personaggi famosi) solo conoscere informazioni come un indirizzo e-mail e un numero di telefono può dare all’hacker un buon punto di partenza per scavare più in profondità in un’identità online».
Mentre la protezione delle API è importante, non è necessariamente un compito semplice assicurarsi che una determinata distribuzione di API sia in realtà sicura. Mike Buckbee, ingegnere di sicurezza a Varonis ha commentato che le API sono notoriamente difficili da proteggere. Ha notato che le API interagiscono regolarmente con dati sensibili, mentre vengono utilizzati in molti modi potenzialmente insicuri da parte degli sviluppatori.
Instagram non è l’unico servizio web che ha avuto problemi quest’anno con una vulnerabilità legata all’API. Joshua Martin, analista di ricerca presso SiteLock, ha notato che WordPress ha subito un hack API a inizio anno che ha avuto effetti simili.