Più di 20.000 utenti Instagram potrebbero essere stati colpiti da una campagna di presa di controllo di account che ha permesso agli aggressori di sequestrare profili, bloccare i proprietari legittimi e ottenere il controllo di nomi utente di valore.
Gli episodi sono emersi dopo che gli utenti hanno segnalato la perdita di accesso ai loro account senza preavviso. Le vittime hanno detto che gli aggressori hanno rapidamente modificato le informazioni di recupero degli account, impedendo loro di riprendere il controllo una volta completata la presa.
La campagna avrebbe preso di mira una vasta gamma di account, inclusi aziende, personaggi pubblici, organizzazioni e proprietari di nomi utente rari o molto ambiti. Alcuni account compromessi, successivamente pubblicizzati in vendita tramite canali Telegram, mentre altri furono privati di nomi utente preziosi che potevano essere trasferiti o rivenduti.
Diverse testimonianze di rilievo sarebbero state coinvolte. Reuters ha identificato tra i prese di mira account associati a Sephora, all’account Instagram della Casa Bianca di Obama e al Chief Sergeant Chief John Bentivegna della Forza Spaziale degli Stati Uniti.
Le vittime hanno descritto un processo rapido in cui le impostazioni dell’account sono state modificate prima che avessero l’opportunità di rispondere. Alcuni utenti hanno riferito di aver perso l’accesso nonostante avessero attivato ulteriori misure di sicurezza sui loro account.
I ricercatori hanno detto che gli attaccanti hanno sfruttato una debolezza nel processo di recupero account di Meta, permettendo loro di modificare le informazioni di recupero legate agli account mirati. Una volta modificati quei dettagli, gli attaccanti potevano reimpostare le password e assumere il controllo dei profili.
La campagna di acquisizione sembra essersi concentrata fortemente su account con nomi utente desiderabili, che possono avere un valore significativo nei mercati sterranei. I ricercatori hanno detto che account e nomi utente compromessi venivano scambiati tramite comunità online dedicate all’acquisto e vendita di asset sui social media.
La portata della campagna ha sollevato preoccupazioni perché avrebbe colpito migliaia di utenti prima che il problema di fondo venisse affrontato. I rapporti indicano che gli aggressori sono riusciti a utilizzare ripetutamente lo stesso metodo contro più bersagli in un periodo relativamente breve.
Meta ha riconosciuto il problema e ha dichiarato di aver risolto la vulnerabilità che ha permesso le acquisizioni degli account. L’azienda ha anche dichiarato di lavorare con gli utenti interessati per ripristinare l’accesso agli account compromessi.
L’azienda non ha reso pubblici il numero totale di utenti coinvolti. Tuttavia, i ricercatori che monitorano la campagna stimano che più di 20.000 account Instagram possano essere stati colpiti prima che il difetto venisse corretto con una patch.