Instagram, la falla e le minacce di Facebook

Un ricercatore riesce a penetrare nel codice di Instagram, e da lì a compromettere l'intera piattaforma. Avvertito Facebook, invece di una taglia in denaro riceve minacce. E il caso diventa pubblico

Roma – Wesley Wineberg è il ricercatore di sicurezza che si è immedesimato nella parte di Alice ed è entrato nel paese delle meraviglie della scarsa opsec di Instagram, una piattaforma che è riuscito a compromettere in maniera sostanzialmente totale. Il ricercatore si è fermato prima di far danni, ha comunicato tutto all’azienda proprietaria del social network (Facebook) e per tutta risposta ha ricevuto minacce.

La tana del bianconiglio da cui Wineberg ha cominciato a sforacchiare Instagram corrisponde a sensu.instagram.com , un dominio dietro cui si nasconde un pannello di amministrazione remota del social network. Il CMS era accessibile pubblicamente da Internet, ed era connesso a un database PostgreSQL vulnerabile all’esecuzione di codice da remoto.

Wineberg è così riuscito a identificare gli oltre 60 account presenti nel database, compromettendo quelli protetti da password facili da crackare (“changeme”, “instagram”, “password” eccetera) e accedendo al pannello di controllo. Tra i file di configurazione scovati sul server, poi, il ricercatore ha identificato una vera miniera di informazioni dalla natura a dir poco delicata.

In sostanza, con i dati trovati sul server del CMS Wineberg è riuscito ad accedere ai server AWS contenenti le immagini, le chiavi di accesso, il codice sorgente e praticamente “tutte” le informazioni del social network. Un’arma di distruzione di massa, insomma, che in mano a un criminale avrebbe provocato la fine del business di Instagram.

Essendo un hacker white hat, però, Wineberg ha terminato le sue indagini contattando Facebook e informando la società di quello che aveva scoperto.
Il ricercatore si aspettava di ricevere un premio in denaro, e invece gli impiegati del social network hanno provato a intimorirlo fino ad arrivare alle minacce di cause legali formulate del CSO di Facebook nei confronti dell’azienda presso cui Wineberg è dipendente.

Il risultato finale del comportamento di Facebook è stato però la pubblicazione di un post sul blog di Wineberg con i dettagli delle vulnerabilità e della disavventura vissuta con il social network.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Addobbo scrive:
    Outlook... Flash....
    Outlook... (rotfl)Flash... (rotfl)(anonimo)
  • rico scrive:
    Mi stavo preoccupando...
    ...finchè non ho letto "infettare windows" :-)Quindi infettare un infezione. Interessante.
  • Lanf scrive:
    Flash si/no
    Quando i siti web dei tuoi fornitori hanno dei pezzi in Flash, hai Flash installato. E no, non puoi cambiare fornitori.
    • Pianeta Che Storia Strappalag rime scrive:
      Re: Flash si/no
      - Scritto da: Lanf
      Quando i siti web dei tuoi fornitori hanno dei
      pezzi in Flash, hai Flash installato. E no, non
      puoi cambiare
      fornitori.E quindi? Vuoi che piangiamo della tua situazione?Usa un OS virtuale configurato per andare esclusivamente sui siti dei fornitori, cosa vuoi che ti dica.Oppure fai come credi, ma se, dopo la millesima falla dovuta a Flash ancora non l'hai capito che è una palese backdoor statale (tutte le settimane chiudono una o più falle gravissime, TUTTE LE SETTIMANE!), non lamentarti se verrai trojanizzato
  • Pianeta Flash Installato scrive:
    il player installato sul sistema
    " infine Outlook eseguirà tramite il player installato sul sistema tramite OLE. "quale flash installato? (newbie)C'è ancora gente così folle da installare quella palese backdoor governativa che è il software di Adobe?
Chiudi i commenti