Instagram expuso nombres, números de cuenta y teléfonos de sus usuarios

Una vulnerabilidad de Instagram, que permitía extraer datos personales de los usuarios como sus nombres, números de cuenta y de teléfono, puso en alerta a los directivos de la aplicación. Los usuarios podrían haber visto sus cuentas y su información expuestas si un especialista externo a la compañía no hubiera encontrado el problema, que ya fue solucionado por la empresa.

Aprovechaba una falla en el sistema para importar contactos y fue descubierta días después de otro error de las redes de Facebook, que consistía en hacer públicos los posteos de cuentas privadas.

Según reveló Forbes, la falla de seguridad en cuestión fue descubierta por el hacker israelí @ZHacker13, que aseguró que explotar esta vulnerabilidad por parte de actores maliciosos podría permitir utilizar un ejército de bots para crear bases de datos con información personal.

El problema estaba en el importador de contactos de Instagram, una herramienta para sincronizar la cuenta con otros sistemas de identificación, como el teléfono o el correo, para encontrar conocidos que usen la red social.

El hacker probó que era posible obtener mil números de teléfonos de usuarios al día a través de un algoritmo que efectuara un ataque de fuerza bruta. También dijo que se podía utilizar esta información para crear nuevos perfiles y, a través de la herramienta de sincronización, obtener los datos personales.

Aunque Instagram solo permite un máximo de tres intentos fallidos de inicio de sesión al día, resultaba posible utilizar una red de bots que explotaran esta vulnerabilidad de forma masiva para obtener datos como nombres, números de cuenta y de teléfono de los usuarios.

Hackers y seguridad

Un vocero de Instagram le aseguró a Europa Press que la brecha de seguridad ya fue solucionada. "Hemos hecho un cambio en el importador de contactos de Instagram para prevenir el tipo de abuso descubierto por el investigador", explicó.

Además, la empresa recordó que "es común que las compañías tecnológicas trabajen con investigadores para detectar problemas de sus productos a través de sus programas de recompensas", y afirmó que el descubridor de esta falla será recompensado por su ayuda.

El director de Tecnología de la compañía de ciberseguridad Bitglass, Anurag Kahol, emitió un comentario destacando que "cuando las personas crean perfiles de usuario para un servicio determinado, confían en que sus datos personales se mantendrán seguros".

"Aunque no hay indicios de que las credenciales se hayan filtrado o de que los hackers hayan robado datos, los usuarios podrían haber visto sus cuentas y su información expuestas si un especialista externo a la compañía no hubiera encontrado el problema e intervenido", denunció Kahol, reclamando un enfoque de seguridad proactivo de las empresas.