Plus de 6 millions d’adresses email et numéros de téléphone associés à Instagram ont été piratés la semaine dernière. Pour comprendre ce hack, le piratage du profil de Selena Gomez avec la publication de photographies dénudées de Justin Bieber est clé car il a permit de trouver une faille beaucoup plus grande que prévue.
La faille provenait de la version mobile 8.5.1 d’Instagram, lancée en 2016 (aujourd’hui, l’application en est à sa version 12.0.0) et aurait permis des consultations principalement ciblées donc sur une poignée de célébrités selon le réseau. Cependant, l’analyse de Kaspersky Labs affirme que la faille exploitée ait permis de toucher un plus grand nombre de comptes. Les chercheurs de cette entreprise ont détecté plusieurs offres, proposant des informations personnelles liées à des comptes Instagram de personnalités, circulaient sur des sites dédiés au piratage.
Le pirate en question, portant le pseudo de DoxAGram sur Twitter, aurait utilisé cette version obsolète de l’application pour effectuer, auprès d’Instagram, une demande de réinitialisation des mots de passe de plusieurs millions de comptes. Il affirme alors avoir récupéré quelque 500 000 comptes par heure pendant 12 heures, soit 6 millions de comptes.
Coup dur pour Instagram
Un coup dur pour Instagram car, bien que la proportion de comptes hackées représente moins de 1% (par rapport aux 700 millions de membres) les nombre de comptes ciblées est quand même frappant.