Instagram再傳資安疑慮 安全漏洞恐讓用戶電話、姓名全外洩

匯流新聞網記者紀沈廷/綜合報導

不虧是Facebook旗下的公司,就連「洩漏個資」這件事都這麼如出一轍,真不知道信任這些社交平台的用戶到底該怎麼辦。

近日有消息指出,Instagram有一項資料安全上的漏洞,能讓攻擊者透過非法破解與IG的同步工具,藉此肉搜用戶個資,甚至能夠藉由網頁機器人來大量蒐集名單,不過Facebook表示在接獲通報後就已經完成修補。

有研究人員最近在Instagram上發現一個漏洞,能夠讓有心人士透過暴力破解及IG同步工具,藉以找到用戶名稱、電話號碼、真實姓名等個資,甚至還能用自動化工具來蒐集名單。這個漏洞是由Twitter代號為為ZHacker13的以色列駭客發現。

這次發現的攻擊,主要有兩個步驟:首先,攻擊者能用簡單的演算法登入表中並發動暴力破解,接著輸入隨機電話號碼,藉由回傳結果查到有效的IG帳號。因為攻擊者能夠同時擁有無上限的演算法,研究人員估計以其設備,只要每輸入約1.5萬筆電話號碼,平均能回傳1000個有效帳號。

接著,攻擊者能夠利用Instagram同步聯絡人功能,連結電話號碼及Instagram用戶名稱與帳號。攻擊者在用網頁機器人建立新帳號後,Instagram會問這個機器人帳號是不是要同步聯絡人;之後,同步功能就會回傳大量帳號跟用戶名稱,只要帳號裡面有能夠配對的電話號碼,就可以和攻擊者手上的電話號碼連結起來,藉此顯示更多帳號細節。

雖然Instagram已經有機制,讓一個網頁機器人每天只能夠查詢3個用戶,但它卻沒有限制使用的網頁機器人數量,ZHacker13光是一台機器就可以同跑40個以上的機器人;在其中一次測試中,它從1000筆可能的電話號碼中,查詢到連結有完整電話號碼的有效帳號,研究人員分析在合理資源的環境下,它可以建立數百萬Instagram帳號的資料庫,若是資源無限的情況下,甚至可能抓完所有Instagram用戶帳號的個資。

Facebook也對外證實有這個漏洞,但在獲得通知後,他們也很快就修補這個漏洞。

這也並非Instagram首次出現資料安全漏洞,在今年7月,有一名獨立研究人員破解Instagram的密碼復原程序,藉以取得任何Instagram用戶的登入憑證,最後還得到了Facebook所頒發的3萬塊美金的抓漏獎金。

參考來源:Forbes、Blu Radio

照片來源:Unsplash

更多匯流新聞網報導:

怒轟Facebook隱私觀點「大錯特錯」 美國法官拒撤聯合訴訟

有完沒完?Facebook再傳個資外洩 上億筆用戶電話遭曝光

【匯流筆陣】

CNEWS歡迎各界投書,來稿請寄至cnewscom2016@gmail.com,並請附上真實姓名、聯絡方式與職業身份簡介。
機器人:機器人(英語:Robot)包括一切模擬人類行為或思想與模擬其他生物的機械(如機器狗,機器貓等)。 ...更多

社群回應
PChome會員回應