Instagram : des cybercriminels vendent le numéro de Taylor Swift pour 10 dollars

Si dans un premier temps le vol semblait limité, les pirates affirment être parvenus à exploiter une faille de façon automatisée et expliquent détenir les données de plus de 200 millions de comptes.

Sur Instagram, les célébrités ont du souci à se faire. Un groupe de cybercriminel est en effet parvenu à dérober une importante base de données personnelles au réseau social en exploitant une faille de sécurité dans le code de son service. Le groupe propose maintenant un service appelé Doxagram, permettant d’accéder aux données personnelles liées à un compte contre la somme de 10 dollars en bitcoins.

La faille exploitée par les cybercriminels avait été introduite dans une API d’Instagram en 2016. La méthode, détaillée par Ars Technica, exploite un comportement anormal de la fonctionnalité permettant de réinitialiser le mot de passe dans la version 8.5.1 de l’application mobile d’Instagram. Mais cette faille permettait de récupérer les données de n’importe quel compte, sans que les victimes aient eu de comportement à risque.

Celle-ci a été initialement repérée par des chercheurs de Kaspersky, qui ont observé sur des sites dédiés au piratage plusieurs offres proposant de revendre des informations personnelles liées au compte Instagram de plusieurs célébrités. Celui-ci a été signalé par Kaspersky à Instagram, qui l’a corrigé dans le courant de la semaine dernière.

Mais les cybercriminels à l’origine de Doxagram ont apparemment déjà récupéré la base de données : si dans un premier temps le vol semblait limité, ils affirment être parvenu à l’exploiter de façon automatisée et expliquent détenir les données de plus de 200 millions de comptes Instagram. Parmi ces données, ils expliquent être en mesure de revendre les adresses email, noms et numéro de téléphones liés à un compte Instagram.

Doxing as a service

Les cybercriminels du groupe Doxagram affirment être en mesure de fournir également les données en masse pour ceux qui souhaiteraient récupérer une partie de la base de données, mais se spécialisent néanmoins dans la vente au détail. Pour cela, un site web a été mis en ligne afin de faciliter les transactions : les utilisateurs s’enregistrent sur celui-ci afin de récupérer l’adresse bitcoin utilisée par les cybercriminels, effectuer le paiement et récupérer les données personnelles convoitées.

Via ses porte-parole, Instagram explique être en train d’enquêter sur cette brèche de données et invite ses utilisateurs à la prudence afin d’éviter que des cybercriminels n’exploitent les données récupérées pour prendre le contrôle du compte de la cible. La société précise que les mots de passe des utilisateurs n’ont pas été dérobés, mais les informations personnelles telles que les numéros de téléphone peuvent être utilisées pour réinitialiser les mots de passe sur certains services, ou pour des tentatives de phishing plus élaborées.

 

source: zdnet.fr

Laisser un commentaire