Les chercheurs de Kaspersky ont découvert comment le réseau social Instagram avait pu être piraté avec pour conséquence la diffusion de photos privées de certaines célébrités. Le 30 août, le service de partage de photos - qui compte 700 millions d’utilisateurs actifs (source Statista, avril 2017) - a averti ses utilisateurs d’accès illigitimes sur certains de ses comptes appartenant à des personnalités grand public. En exploitant un bug de l’application mobile, dans sa version 8.5.1 de 2016 (l’actuelle version est la 12.0.0), des adresses e-mails et numéros de téléphone ont pu être dérobés et des photos privées diffusées (le chanteur Justin Bieber en a notamment fait les frais, via le compte piraté de son ex petite amie Selena Gomez).
Selon Kaspersky, les pirates « ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un proxy web ». Ils ont ensuite envoyé une requête au serveur d’Instagram sous l’identifiant de l’utilisateur ciblé à laquelle le serveur a renvoyé une réponse JSON avec les données personnelles de la victime, explique la firme de sécurité dans un communiqué. Elle ajoute que chaque attaque a dû être réalisée manuellement, Instagram empêchant l’automatisation des formulaires de demandes par les cybercriminels. Kaspersky précise que ces derniers ont été repérés sur un forum clandestin où ils revendaient les données d’identification volées.