Trova falla su Instagram e Facebook lo minaccia

instagram-falla-facebook

Ricercatore informatico riesce a penetrare nel codice di Instagram, e da lì a compromettere l’intera piattaforma. Dopo aver avvisato Facebook, invece di una ricompensa in denaro riceve minacce. Forse perché Zuckerberg è in ferie?

Wesley Wineberg è il ricercatore di sicurezza che si è immedesimato nella parte di Alice ed è entrato nel paese delle meraviglie della scarsa opsec di Instagram, una piattaforma che è riuscito a compromettere in maniera sostanzialmente totale. Il ricercatore si è fermato prima di far danni, ha comunicato tutto all’azienda proprietaria del social network (Facebook) e per tutta risposta ha ricevuto minacce.
La tana del bianconiglio da cui Wineberg ha cominciato a sforacchiare Instagram corrisponde asensu.instagram.com, un dominio dietro cui si nasconde un pannello di amministrazione remota del social network. Il CMS era accessibile pubblicamente da Internet, ed era connesso a un database PostgreSQL vulnerabile all’esecuzione di codice da remoto.

Wineberg è così riuscito a identificare gli oltre 60 account presenti nel database, compromettendo quelli protetti da password facili da crackare (“changeme”, “instagram”, “password” eccetera) e accedendo al pannello di controllo. Tra i file di configurazione scovati sul server, poi, il ricercatore ha identificato una vera miniera di informazioni dalla natura a dir poco delicata.

In sostanza, con i dati trovati sul server del CMS Wineberg è riuscito ad accedere ai server AWS contenenti le immagini, le chiavi di accesso, il codice sorgente e praticamente “tutte” le informazioni del social network. Un’arma di distruzione di massa, insomma, che in mano a un criminale avrebbe provocato la fine del business di Instagram.

Essendo un hacker white hat, però, Wineberg ha terminato le sue indagini contattando Facebook e informando la società di quello che aveva scoperto.
Il ricercatore si aspettava di ricevere un premio in denaro, e invece gli impiegati del social network hanno provato a intimorirlo fino ad arrivare alle minacce di cause legali formulate del CSO di Facebook nei confronti dell’azienda presso cui Wineberg è dipendente.

Il risultato finale del comportamento di Facebook è stato però la pubblicazione di un post sul blog di Wineberg con i dettagli delle vulnerabilità e della disavventura vissuta con il social network. (fonte)

You may also like...