Aggiornamenti recenti Luglio 8th, 2025 2:50 PM
Mag 23, 2016 Marco Schiaffino Hacking, News, Privacy, Vulnerabilità 0
Per violare un account Instagram non servivano campagne di phishing o un keylogger sul computer della vittima: bastava avviare un brute forcing direttamente sul sito.
È questa la scoperta fatta da Arne Swinnen, un “cacciatore di bug” che ha messo a nudo tutte le debolezze del social network in un post sul suo blog.
A rendere vulnerabile Instagram, secondo Swinnen, sono diversi fattori. Prima di tutto la mancanza di una politica di blocco degli account in fase di log in, che rende possibile un attacco di brute forcing. Ma anche la tardiva introduzione di un sistema di autenticazione a due fattori, introdotto solo nel febbraio del 2016 e ancora ben lontano da essere utilizzato da tutti (o buona parte) degli iscritti.
Se a questo si aggiunge il fatto che gli account sono pubblici e la policy per le password prevede un minimo di 6 caratteri e consente l’utilizzo di password come “123456” o “password”, il quadro è completo.
Nessuna policy per la scelta delle password e nemmeno limiti per i tentativi di log in. Instagram fino a qualche giorno fa era “brute forcing friendly”.
Nei suoi test, Swinnen ha trovato due modi per accedere a un account Instagram senza “toccare” i dispositivi degli utenti. Il primo prende di mira l’endpoint usato per l’accesso da Android.
Swinnen, infatti, si è accorto che nel corso di un attacco, il server rispondeva normalmente ai primi 1000 tentativi di accesso da uno stesso indirizzo IP, negando invece i successivi 1000. A partire dal successivo, però, lo schema si ripeteva e permetteva quindi di proseguire l’attacco con altri 1000 tentativi.
La seconda vulnerabilità, invece, riguardava l’accesso via Web e consentiva, al pari del primo, un brute forcing basato su dizionario.
La segnalazione dei bug ha fruttato ad Arne Swinnen una ricompensa di 5000 dollari, mentre le policy per le password e i sistemi di autenticazioni sono stati corretti introducendo requisiti più rigorosi nella scelta della password e un limite per i tentativi di login.
Gen 18, 2019 0
Lug 08, 2025 0
Lug 07, 2025 0
Lug 07, 2025 0
Lug 04, 2025 0
Lug 07, 2025 0
Lug 07, 2025 0
Lug 04, 2025 0
Lug 04, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 07, 2025 0
Da giovedì scorso Ingram Micro sta soffrendo per via di...Lug 07, 2025 0
Nella settimana appena trascorsa, il CERT-AGID ha...Lug 04, 2025 0
Il Sinaloa, un cartello messicano, è riuscito ad...Lug 04, 2025 0
Scoperti due gravi bug in Sudo, il celebre strumento da...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...