攻击者利用Instagram API错误来访问用户’ contact info

Instagram.已确认“一个或多个人获得了对许多高调的Instagram用户的非法访问’联系信息 - 特别是电子邮件地址和电话号码 - 通过利用Instagram API中的错误。”

攻击者利用Instagram API错误

显然,没有暴露过帐户密码。

没有更多关于错误的细节,只有它现已修复。他们也没有’t说到错误是否受到验证的验证或所有类型的Instagram帐户,或者被盗信息是否用于损害已验证的帐户。

美国歌手和演员Selena Gomez最近已经让她的Instagram帐户劫持,被攻击者继续发布前男友Justin Bieber的裸体照片,但尚不知道劫持劫持是否与这个错误有任何关系。

Facebook所有的公司已通知Hack的已验证成员,并敦促用户“如果他们遇到任何可疑活动,例如无法识别的来电,文本和电子邮件,则保持其账户安全和谨慎行事。”

更新: Kaspersky Lab研究人员发现的错误和有关它的信息与Instagram共享。

“研究人员发现,2016年发布的Instagram移动版本8.5.1中存在漏洞(当前版本为12.0.0)。攻击过程相对简单:使用过时的应用程序攻击者选择重置密码选项并使用Web代理捕获请求。然后,它们选择受害者并向携带目标唯一标识符或用户名的Instagram服务器发送请求。服务器与受害者的个人信息返回JSON响应,包括敏感数据,如电子邮件和电话号码,” they explained.

“攻击是非常劳动密集的:必须手动完成每个人,因为Instagram使用数学计算来防止攻击者自动化请求表。黑客被发现在地下论坛上,交易名人账户的个人资格。“

建议用户立即更新到应用程序的最新版本。

“在社交媒体上留下安全的其他有用建议包括对不同的社交平台的不同电子邮件地址,向网络报告任何疑虑或不规则性 - 以及最重要的:如果您收到有关未启动的密码恢复的电子邮件,请提醒网络立即,”研究人员补充道。

分享这个