 |
| Photo by Verctorink |
Sekilas, celah keamanan Instagram yang dieksploitasi untuk mendapatkan nomor telepon dan alamat e-mail selebriti tampaknya terbatas, mungkin ke sejumlah kecil akun selebriti. Kini sebuah basis data dari 10.000 kredensial yang dipublikasikan online menunjukkan bahwa eksploitasi tersebut jauh lebih besar.
Basis data disediakan oleh seseorang yang mengirim e-mail sebagai tanggapan atas berita sebelumnya, tentang pelanggaran Instagram. Pengirim mengatakan bahwa ia mampu mengikis data pribadi yang dimiliki oleh 6 juta pengguna dan menjual data di situs web seharga $10 per kueri. Orang tersebut memberikan contoh 10.000 data pribadi tersebut.
Sementara Instagram belum mengkonfirmasi keaslian sampelnya, sebuah analisis oleh situs Ars Technica dan peneliti keamanan Troy Hunt dari layanan notofikasi Have I been Pwnd, semua menyimpulkan data tersebut sah. Untuk melindungi pengguna yang berpotensi terkena dampak, Ars tidak menerbitkan situs yang mendanai penjualan 6 juta rekaman atau sampel tersebut, yang tersedia secara gratis saat pos ini akan ditayangkan.
Dari 10.000 data sampel, 9.911 di antaranya termasuk nomor telepon atau e-mail; 5.341 menyertakan nomor telepon, dan 4.341 menyertakan nomor telepon dan e-mail. Pencarian beberapa lusin nama pengguna, misalnya, menunjukkan bahwa semuanya berhubungan dengan pengguna Instagram yang sebenarnya, dan profil pengguna tersebut sesuai dengan nomor telepon yang terkait. Data tersebut, misalnya, menyertakan nama pengguna untuk tiga pengguna yang profilnya menunjukkan bahwa mereka berada di Australia, Thailand, dan Jerman. Nomor telepon yang menyertai pengguna tersebut berisi kode negara nomor telepon yang sesuai. Beberapa pengguna dalam database yang berhasil di hack memiliki jutaan pengikut.
Perwakilan Instagram mengatakan mereka mengetahui klaim tersebut dan menginvestigasi hal tersebut. Instagram memiliki 700 juta pengguna aktif dan terus bertambah.
Orang yang memberikan sampel mengatakan bahwa dia mengetahui celah pada Instagram dalam diskusi IRC. Dia juga mengatakan orang lain telah mengeksploitasi bug secara independen namun tidak sebesar hasil yang ia dapatkan. Kira-kira 12 jam setelah eksploitasi massal dimulai, Instagram menambal lubang keamanan. Berlawanan dengan temuan awal oleh periset Lab Kaspersky, orang ini mengatakan bahwa sangat mungkin untuk memanfaatkan bug Instagram secara otomatis. Memungkinkan untuk mencuri data sekitar 1 juta akun per jam, jauh lebih cepat daripada perkiraan banyak orang. Pada tingkat itu, diperlukan waktu hampir dua minggu untuk mendownload 700 juta data pengguna, dan lebih lama lagi untuk mendapatkan keseluruhan database.
Dengan asumsi angka 6 juta itu benar, dan sampel 10.000 representatif, jutaan alamat e-mail dan nomor telepon tersedia untuk dijual, dan masih banyak data akun yang mungkin berada di tangan hacker lain.
Sumber Ars Technica
Posts
No comments:
Post a Comment