Ngày 31/8/2017, Instagram - một ứng dụng ảnh do Facebook sở hữu, đã phát hành bản vá lỗ hổng API. Trước đó, kẻ tấn công có thể khai thác lỗ hổng này để tìm ra địa chỉ email và/hoặc số điện thoại của người dùng.

Kẻ tấn công đã khai thác lỗ hổng API để lấy cắp thông tin liên lạc của “một số” tài khoản Instagram nổi tiếng và đã không xâm phạm mật khẩu. Tuy nhiên, Instagram đã đánh giá thấp hậu quả của cuộc tấn công này. Kẻ tấn công đã lấy cắp được thông tin của 6 triệu tài khoản và rao bán trực tuyến.

Quá trình tấn công

Các nhà nghiên cứu của Kaspersky Lab đã tìm ra lỗ hổng và thông báo với Instagram. Theo họ, mặc dù quá trình tấn công tương đối đơn giản, nhưng phải mất khá nhiều thời gian và nỗ lực để thực hiện.

Theo Kaspersky Lab, kẻ tấn công đã sử dụng ứng dụng Instagram phiên bản cũ. Chúng yêu cầu đặt lại mật khẩu thông qua một trang web proxy. Tên truy cập hoặc đặc tính khác của tài khoản bị tấn công sẽ gửi đến máy chủ của Instagram. Máy chủ trả về một phản hồi JSON cùng thông tin cá nhân của nạn nhân như email và số điện thoại.

Quá trình tấn công tốn khá nhiều thời gian và công sức, vì mỗi tấn công đều phải thực hiện bằng tay do Instagram sử dụng các phép tính toán học nhằm ngăn chặn kẻ tấn công gửi yêu cầu tự động.

Thông tin người dùng bị rao bán trực tuyến

Các nhà nghiên cứu đã phát hiện ra những kẻ tấn công trên một diễn đàn ngầm. Chúng đã giao dịch thông tin đăng nhập tài khoản Instagram của những người nổi tiếng. Đó là khi các nhà nghiên cứu bắt đầu đi tìm lỗ hổng của Instagram.

Không thể biết những kẻ tấn công đã khai thác lỗ hổng này trong bao lâu. Nếu tất cả các tài khoản phải thực hiện tấn công bằng thủ công, thì có thể những kẻ tấn công đã thực hiện được một thời gian, vì chúng cho biết đã có trong tay thông tin của hơn 6 triệu tài khoản Instagram. Chúng bán những thông tin này cả trên Internet và dark web với 10 USD cho một tài khoản. Dịch vụ này được chúng đặt tên là “Doxagram”.

Công ty truyền thông The Daily Beast đã trực tiếp nhận được từ kẻ tấn công một mẫu thông tin của dữ liệu bị lấy cắp và kiểm tra mẫu này. Họ phát hiện ra rằng: một số thông tin tương ứng với thông tin được cung cấp bởi người dùng; và nhiều địa chỉ email trong danh sách mẫu không xuất hiện trên trang Tìm kiếm của Google, hoặc các cơ sở dữ liệu công cộng, có nghĩa là những thông tin này có thể được lấy từ nguồn riêng tư.

Theo The Daily Beast, một số tài khoản trong danh sách mẫu là các tài khoản của những người nổi tiếng và quan trọng. Theo báo cáo, những kẻ tấn công tự động thu thập thông tin thông qua một scraper (tự động thu thập, lọc dữ liệu trang web). Các tài khoản với hơn một triệu người theo dõi sẽ là các mục tiêu hàng đầu.

Kiểm soát thiệt hại

Instagram đã cố gắng giảm thiểu thiệt hại bằng cách mua thật nhiều tên miền Doxagram và liên tục khởi động lại Doxagram từ các tên miền khác nhau. Hiện tại, trang web đang nằm ở doxagram.su, nhưng có thể sẽ sớm thay đổi. Những kẻ tấn công cũng đã thiết lập một tài khoản Twitter để thông báo mỗi khi thay đổi của tên miền. Trong khi đó, các biến thể dark web của Doxagram sẽ rất khó để gỡ xuống.

Tài khoản của những người nổi tiếng hầu hết đã thay đổi địa chỉ email và số điện thoại. Mặc dù mật khẩu không bị xâm phạm, nhưng những người dùng đã bị thu thập thông tin nên chú ý rằng những thông tin này có thể được sử dụng để tấn công lừa đảo. Người dùng nên cập nhật ứng dụng Instagram trên thiết bị của mình lên phiên bản mới nhất (v12.0.0).