Wesley Wineberg è il ricercatore di sicurezza che si è immedesimato nella parte di Alice ed è entrato nel paese delle meraviglie della scarsa opsec di Instagram, una piattaforma che è riuscito a compromettere in maniera sostanzialmente totale. Il ricercatore si è fermato prima di far danni, ha comunicato tutto all’azienda proprietaria del social network (Facebook) e per tutta risposta ha ricevuto minacce.
La tana del bianconiglio da cui Wineberg ha cominciato a sforacchiare Instagram corrisponde a sensu.instagram.com , un dominio dietro cui si nasconde un pannello di amministrazione remota del social network. Il CMS era accessibile pubblicamente da Internet, ed era connesso a un database PostgreSQL vulnerabile all’esecuzione di codice da remoto.
Wineberg è così riuscito a identificare gli oltre 60 account presenti nel database, compromettendo quelli protetti da password facili da crackare (“changeme”, “instagram”, “password” eccetera) e accedendo al pannello di controllo. Tra i file di configurazione scovati sul server, poi, il ricercatore ha identificato una vera miniera di informazioni dalla natura a dir poco delicata.
In sostanza, con i dati trovati sul server del CMS Wineberg è riuscito ad accedere ai server AWS contenenti le immagini, le chiavi di accesso, il codice sorgente e praticamente “tutte” le informazioni del social network. Un’arma di distruzione di massa, insomma, che in mano a un criminale avrebbe provocato la fine del business di Instagram.
Essendo un hacker white hat, però, Wineberg ha terminato le sue indagini contattando Facebook e informando la società di quello che aveva scoperto.
Il ricercatore si aspettava di ricevere un premio in denaro, e invece gli impiegati del social network hanno provato a intimorirlo fino ad arrivare alle minacce di cause legali formulate del CSO di Facebook nei confronti dell’azienda presso cui Wineberg è dipendente.
Il risultato finale del comportamento di Facebook è stato però la pubblicazione di un post sul blog di Wineberg con i dettagli delle vulnerabilità e della disavventura vissuta con il social network.
Alfonso Maruccia