Aggiornamenti recenti Settembre 17th, 2021 3:19 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attenzione a OMIGOD: l’aggiornamento è a carico degli utenti
- Microsoft spinge per l’addio alla password
- Imperva: quasi la metà dei database online sono vulnerabili
- L’acquisto di ExpressVPN preoccupa… c’è da fidarsi?
- Il gruppo REvil è tornato in attività
Instagram: 20 milioni di Account erano a rischio hacking
Per violare un account Instagram non servivano campagne di phishing o un keylogger sul computer della vittima: bastava avviare un brute forcing direttamente sul sito.
È questa la scoperta fatta da Arne Swinnen, un “cacciatore di bug” che ha messo a nudo tutte le debolezze del social network in un post sul suo blog.
A rendere vulnerabile Instagram, secondo Swinnen, sono diversi fattori. Prima di tutto la mancanza di una politica di blocco degli account in fase di log in, che rende possibile un attacco di brute forcing. Ma anche la tardiva introduzione di un sistema di autenticazione a due fattori, introdotto solo nel febbraio del 2016 e ancora ben lontano da essere utilizzato da tutti (o buona parte) degli iscritti.
Se a questo si aggiunge il fatto che gli account sono pubblici e la policy per le password prevede un minimo di 6 caratteri e consente l’utilizzo di password come “123456” o “password”, il quadro è completo.
Nessuna policy per la scelta delle password e nemmeno limiti per i tentativi di log in. Instagram fino a qualche giorno fa era “brute forcing friendly”.
Nei suoi test, Swinnen ha trovato due modi per accedere a un account Instagram senza “toccare” i dispositivi degli utenti. Il primo prende di mira l’endpoint usato per l’accesso da Android.
Swinnen, infatti, si è accorto che nel corso di un attacco, il server rispondeva normalmente ai primi 1000 tentativi di accesso da uno stesso indirizzo IP, negando invece i successivi 1000. A partire dal successivo, però, lo schema si ripeteva e permetteva quindi di proseguire l’attacco con altri 1000 tentativi.
La seconda vulnerabilità, invece, riguardava l’accesso via Web e consentiva, al pari del primo, un brute forcing basato su dizionario.
La segnalazione dei bug ha fruttato ad Arne Swinnen una ricompensa di 5000 dollari, mentre le policy per le password e i sistemi di autenticazioni sono stati corretti introducendo requisiti più rigorosi nella scelta della password e un limite per i tentativi di login.
Condividi l'articolo
Raffica di cause contro Facebook: “Controlla illegalmente le chat”
Reti Internet senza fili messe KO da un malware
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Viaggi nello spazio e cybersecurity I viaggi nello spazio diventeranno presto la norma, poiché... -
La collaborazione è la chiave del futuro successo, o... Una recente ricerca paneuropea* ha evidenziato che quasi la... -
I chip spia cinesi nei server di Supermicro? Forse ci... Una nuova inchiesta di Bloomberg riprende la vicenda. Il... -
Deepfake: come possono difendersi le aziende? L’utilizzo di app basate su algoritmi di AI per la... -
Check Point: dopo il Covid il rischio è una pandemia cyber Il nuovo scenario del panorama IT delinea priorità e...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Attenzione a OMIGOD: l’aggiornamento è a carico degli... Il pacchetto di vulnerabilità relativi all’agent su... -
Microsoft spinge per l’addio alla password L’azienda invita i suoi utenti a eliminare la password... -
Imperva: quasi la metà dei database online sono La ricerca della società di sicurezza mette in luce la... -
L’acquisto di ExpressVPN preoccupa… c’è da fidarsi? La società è stata acquistata per 936 milioni di... -
Il gruppo REvil è tornato in attività Dopo oltre 2 mesi in cui si era ormai pensato...
Alta tensione tra occidente e Cina per gli attacchi cyber
Francia sotto l’attacco degli hacker di Pechino, mentre gli USA... Continua →
Vocabolario della sicurezza
