Instagram
asegura haber solucionado una vulnerabilidad descubierta recientemente en su
sistema para importar contactos que permitía extraer datos personales de los
usuarios y sus cuentas como sus nombres, números de cuenta y de teléfono.
Según ha informado
Forbes, el fallo de seguridad en cuestión fue descubierto originalmente por el
hacker israelí @ZHacker13, que aseguró que explotar esta vulnerabilidad por
parte de actores maliciosos podría permitir utilizar un ejército de bots para
constituir bases de datos con información personal.
La
vulnerabilidad en cuestión residía en el importador de contactos de Instagram,
una herramienta presente en la página de identificación de la red social, y en
los mecanismos que utiliza para sincronizar la cuenta con otros sistemas de
identificación, como el teléfono o el correo.
A través de
un algoritmo que efectuase un ataque de fuerza bruta, el 'hacker' israelí probó
que era posible obtener mil números de teléfonos de usuarios al día, y utilizar
esta información para crear nuevos perfiles y, a través de la herramienta de
sincronización, obtener los datos personales del mismo.
Aunque
Instagram solo permite un máximo de tres intentos fallidos de inicio de sesión
al día, resultaba posible utilizar una red de bots que explotaran esta
vulnerabilidad de forma masiva y se hacerse con datos como nombres, números de
cuenta y de teléfono de los usuarios.
LA BRECHA,
SOLUCIONADA POR INSTAGRAM
Un portavoz
de Instagram ha asegurado en declaraciones a Europa Press que la brecha de
seguridad ya ha sido solucionada. "Hemos hecho un cambio en el importador
de contactos de Instagram para prevenir el tipo de abuso descubierto por el
investigador", ha explicado el portavoz.
Además, la
empresa ha recordado que "es común que las compañías tecnológicas trabajen
con investigadores a ayudar problemas de sus productos a través de sus
programas de recompensas", y ha asegurado que el descubridor del problema
será recompensado por su ayuda.
El director
de Tecnología de la compañía de ciberseguridad Bitglass, Anurag Kahol, ha
emitido un comentario destacando que "cuando las personas crean perfiles
de usuario para un servicio determinado, confían en que sus datos personales se
mantendrán seguros".
"Aunque
no hay indicios de que las credenciales se hayan filtrado o de que los hackers
hayan robado datos, los usuarios podrían haber visto sus cuentas y su
información expuestas si un especialista externo a la compañía no hubiera
encontrado el problema e intervenido", ha denunciado Kahol, reclamando un
enfoque de seguridad proactivo de las empresas.
Fuente:
Europa Press