En las últimas 72hrs, salto una alerta de que hackers habrían estado explotando una vulnerabilidad en la API de Instagram para sustraer información privada de varios perfiles. Datos como números de teléfono y direcciones de email fueron sustraídas y luego utilizadas para hackear las cuentas de varios famosos. Pues bien, aunque en principio se creía que el ataque estaba a pocos usuarios, nuevos datos revelan que el robo de información privada fue más grande de lo que un principio se creyó.
Resulta que circula en foros y sitios de descarga una base de datos con nombres de usuario, dirección de correo y números de teléfono de hasta 10,000 usuarios de Instagram. La base de datos es una pequeña muestra que un sitio está ofreciendo para atraer clientes potenciales que quieran realizar una consulta por $10 en su sistema. Al parecer, la base de datos de este sitio está conformada por los información privada de 6 millones de usuarios.
Los chicos de ArsTechnica y Troy Hunt, administrador del sitio Have I been Pwnd, han confirmado la autenticidad de los datos en la muestra de 10,000 usuarios que el sitio está ofreciendo. Estos aseguran que la base incluye números de teléfono y correos electrónicos que pertenecen a los usuarios asociados, varios provenientes de Australia, Tailandia y Alemania.
Al ponerse en contacto con uno de los proveedores del sitio que ofrece la información privada, este comenta que supo de la vulnerabilidad de la API en una sala de IRC, lo que lleva a pensar que otros usuarios podrían haberse aprovechado también para extraer datos privados. Según explica el mismo, era posible extraer información de Instagram a una velocidad de 500,000 cuentas por hora, y ya que la Instagram asegura tener 700 millones de usuarios, habría tomado cerca de 2 meses hacerse con todos los datos.
Instagram por su parte asegura que se encuentran al tanto de la situación y están investigando más sobre el alcance real que pudo tener la presencia de esta vulnerabilidad en la API. Por la parte de los usuarios, no nos queda más que esperar, pero ya con las evidencias sobre la mesa, cabe la posibilidad de que nuestros datos estén circulando por las web. Dicho esto, deberemos estar muy atentos con el comportamiento de Instagram así como de la entrada de spam, sobre todo ahora que los spambots se están masificando.