Une faille de sécurité d'Instagram exposait les données personnelles de tous ses membres

Une faille de sécurité du réseau social rendait accessibles les noms et numéros de téléphone de tous ses membres à des pirates, révèle le magazine Forbes.

Cette vulnérabilité, qui a maintenant été corrigée, touchait les fonctionnalités de connexion et de synchronisation des contacts d’Instagram. Elle permettait aux pirates de vérifier si des numéros de téléphone étaient liés à des comptes et de connaître les noms des personnes associées à ces numéros.

Le pirate activiste qui a découvert la faille, ZHacker13, explique qu’on aurait pu l’exploiter à l’aide d’une attaque par force brute, c’est-à-dire en testant un à un des numéros de téléphone pour voir s’ils étaient associés à un compte Instagram.

Un acteur malveillant aurait pu construire un algorithme pour accomplir cette tâche dans le but d’extraire toutes ces informations de la base de données du réseau social.

Il aurait ensuite suffi de créer un compte et de se servir de la fonctionnalité de synchronisation des contacts pour associer ces numéros de téléphone aux comptes et noms de membres du réseau social. Ce processus aurait également pu être automatisé à l’aide d’algorithmes.

Théoriquement, j’aurais pu obtenir les détails personnels de toute personne qui est inscrite à Instagram, résume ZHacker13. 

La faille a été corrigée après que le pirate a informé Facebook, la société mère d’Instagram, de son existence.

Cette nouvelle survient moins de deux semaines après qu’il a été révélé que des numéros de téléphone liés à plus de 400 millions de comptes Facebook se sont retrouvés stockés en ligne, à la merci d'une utilisation malveillante.

Avec les informations de Forbes