Le bug d’une API d’Instagram a permis à des internautes de récupérer les coordonnées des célébrités, notamment leur numéro de téléphone et adresse e-mail. Cette semaine, le réseau social a corrigé ce problème et a vérifié les profils des « utilisateurs de premier plan ». Selon Ars Technica, cette faille de sécurité a permis d’atteindre un grand nombre d’utilisateurs, 6 millions de comptes pour être plus précis. Tour d’horizon sur l’impact de ce bug.
Bug d’API : plus important que ce qu’Instagram laisse entendre
Le bug d’API qu’Instagram a corrigé cette semaine a permis à plusieurs individus l’accès non autorisé aux informations de contact de certaines célébrités comme Selena Gomez et Justin Bieber. Ces personnes ont pu récupérer l’adresse mail et le numéro de téléphone de ces chanteurs. Cette faille de sécurité a sans doute eu des répercussions plus importantes, au-delà de ce que le réseau social donne à entendre. En effet, ce dernier a insinué que cette exploitation d’API n’a pas engendré un accès illicite à aucun mot de passe. L’entreprise a mesuré la portée de cette intrusion, mais elle n’en a pas informé dans le mail qu’elle a adressé aux utilisateurs certifiés « par excès de prudence » le 30 août. Seule la correction du bug a été indiquée dans ce courrier électronique, or, selon Ars Technica, cette fuite de contenu n’aurait pas seulement touché les stars étant donné qu’une base de données impliquant 10 000 comptes a été mise en ligne jeudi dernier (31 août). De surcroît, un internaute a contacté ce site Web des adeptes de nouvelles technologies pour révéler sa récolte d’informations personnelles de 6 millions d’utilisateurs d’Instagram. Ce tiers les met en vente libre sur une plateforme pour le prix d’environ 10 dollars par identifiant.
S’agit-il d’informations véridiques ?
Instagram n’a pas encore confirmé que les données proposées à la vente sur Internet proviennent réellement des 6 millions de comptes prétendus être affectés par le bug d’une API. Le réseau social enquête actuellement là-dessus. En revanche, comme le mystérieux internaute a fourni à Ars Technica un échantillon des informations récupérées, ce site a alors mené une recherche sur une douzaine d’utilisateurs et a pu constater que les coordonnées remises correspondent vraiment aux siennes.
Le tiers a livré à Ars Technica les numéros de téléphone et adresses mail de 4 341 comptes, le contact téléphonique de 5 341 personnes ou entreprises, et le tél. ou l’e-mail de 9 911 identifiants. Selon Troy Hunt, un spécialiste en cybercriminalité, ces données appartiennent aux personnes suivies par des millions d’abonnés. Il a précisé sur Twitter qu’il s’est tellement penché sur cette affaire de bug d’API au point d’être sûr que ces informations sont véridiques.
S’il s’agit bien des contacts des utilisateurs d’Instagram, ces individus s’exposent davantage à la cybercriminalité vu qu’il est facile pour les pirates de prendre le contrôle de leur compte via les techniques d’ingénierie sociale. Cette hypothèse est envisageable suite à l’accès d’un tiers aux données de Selena Gomez.
Il ne reste plus qu’à attendre la confirmation d’Instagram pour savoir si 6 millions de personnes ont réellement été victimes de cette faille de sécurité ou non, car il est possible que ce mystérieux revendeur ait compilé les données depuis d’autres sources.