David Stier, in ricercatore specializzato in sicurezza informatica, ha individuato una falla nel sito web di Instagram che avrebbe permesso di esporre dati degli utenti per mesi, permettendo potenzialmente a vari cybercriminali di creare archivi con numeri di telefono e indirizzi mail di migliaia di persone.
Stando a quanto riferisce il ricercatore, era possibile recuperare varie informazioni dal codice sorgente dopo che l’utente aveva eseguito il login sul sito web di Instagram con un browser. Le informazioni di contatto non erano visualizzate sul profilo dell’utente nella versione desktop di Instagram, erano usate dal sito per la condivisione di foto per comunicazioni ma non è chiaro perché questi dettagli finivano nel codice sorgente della pagina web dopo che l’utente eseguiva il login.
A quanto pare è stato possibile ricavare dettagli sui contatti di migliaia di account privati, non solo di adulti, aziende e brand vari ma anche di minorenni. Stando a quanto riferisce Stier, cybercriminali erano in grado di ottenere i dati dopo il login sul sito web di Instagram e mettere insieme un elenco telefonico virtuale con vari dettagli. Un elenco di questo tipo è stato creato da Chtrbox, società di marketing con sede a Mumbai, un nome che era già venuto fuori pochi giorni addietro dopo la scoperta di un enorme archivio senza protezione contenente dettagli di milioni di account Instagram, molti dei quali appartenenti a influencer e celebrità varie.
Chtrbox afferma che le informazioni ottenute non erano riservate e non sono state ottenute con modalità “non etiche”. Instagram (società di proprietà di Facebook) riferisce che suoi partner ricevono i dati degli utenti visitando o usando i loro servizi o tramite terzi con cui collabora. Terze parti non dovrebbero essere in grado di raccogliere dati e Instagram afferma di stare svolgendo indagini sia per la segnalazione del ricercatore, sia per la questione dell’archivio creato da Chtrbox.
Instagram già due anni addietro ha ammesso che un bug di sicurezza nelle API per gli sviluppatori aveva permesso a cybercriminali di ottenere gli indirizzi mail e i numeri di telefono di 6 milioni di account, dati venduti in cambio di Bitcoin. In seguito il social ha bloccato le API e rinunciato a molte app costruite sulla sua piattaforma per meglio proteggere la privacy degli utenti.