Se trata de un fallo de seguridad que permitía a un atacante acceder a información de una cuenta, como el número de teléfono completo y nombre real de un usuario; aunque Facebook, quien confirmó la existencia de la vulnerabilidad, ya la reparó el fallo.
El hallazgo de esta vulnerabilidad ocurrió en el mes de agosto y es obra del investigador @ZHacker13. Según la propia red social, la explotación del fallo podría haber permitido a un actor malintencionado asociar números de teléfono con detalles de los usuarios y hacer uso abusivo de esta información, lo cual supuso un riesgo para los usuarios. Lo único que podría haber necesitado un atacante para afectar a un usuario hubiese sido la vinculación de estos datos.
Casualmente, a principios de septiembre se descubrió la existencia de una base de datos mal configurada que contenía una lista de números de teléfono y nombres de usuarios compuesta por 419 millones de usuarios de distintas partes del mundo. Y hace aproximadamente una semana atrás, el investigador ZHacker13 explicó al periodista de Forbes, Zak Doffman, que había detectado una vulnerabilidad en Instagram que permitiría evadir los mecanismos de seguridad de la plataforma y acceder a un tipo de base de datos similar al que se había conocido recientemente, la cual posibilitaría a un actor malicioso hacer uso abusivo de esta información compuesta por una larga lista de números de teléfono, ID de usuarios, nombres de usuario y nombres reales.
El investigador explicó al medio que un atacante podría aprovecharse de este fallo de seguridad utilizando un ejército de bots y procesadores que le permitirían construir una base de datos de usuarios accesible y factible de atacar que le permitirían evadir los mecanismos de protección que protegen esos datos.
El problema estaba en el importador de contactos de la plataforma, que al ser combinado con un ataque de fuerza bruta en su formulario de inicio de sesión dejaba expuesta la existencia de la vulnerabilidad, explica el artículo. Según dijo un vocero de Facebook, la compañía confirmó que modificó el importador de contacto en Instagram para prevenir cualquier abuso del fallo.
Para comprender la magnitud del fallo, el investigador compartió con el periodista detalles de cómo podría explotarse la vulnerabilidad y aseguró que con capacidad de procesamiento suficiente sería posible crear una base de datos compuesta por números de teléfono y datos de millones de usuarios de Instagram.
A su vez, el periodista compartió la información con el investigador de ESET, Lukas Stefanko, quien validó la explicación y confirmó que era posible.
En un primer momento, Facebook le dijo al investigador que, si bien la vulnerabilidad descubierta era grave, la compañía ya estaba al tanto del fallo, por lo que no sería recompensado por su programa de bugbounty; sin embargo, la red social dio marcha atrás en sus pasos y reconsideró su decisión y finalmente recompensará a @ZHacker13 por reportar el fallo.