Bug in Instagram-api gaf toegang tot telefoonnummers geverifieerde gebruikers

Facebook-dochter Instagram heeft gewaarschuwd dat gegevens van accounts toegankelijk waren door een bug in zijn api. Volgens het bedrijf was er toegang tot e-mailadressen en telefoonnummers van high profile gebruikers.

In een mededeling, die onder meer is gepubliceerd door Variety, schrijft Instagram: "We zijn er onlangs achter gekomen dat één of meer individuen onbevoegd toegang hebben gekregen tot een aantal high profile Instagram-accounts door een bug in de api. Daarbij ging het specifiek om e-mailadressen en telefoonnummers." Er zouden geen wachtwoorden zijn buitgemaakt.

Het bedrijf heeft al zijn geverifieerde gebruikers, te herkennen aan een blauw vinkje, op de hoogte gesteld van de bug, aldus The Verge. Het is onduidelijk of er alleen toegang was tot een bepaald aantal accounts, of dat alle accounts kwetsbaar waren en de individuen in kwestie alleen geïnteresseerd waren in gegevens van accounts van bekende personen.

Instagram zegt dat de bug inmiddels is verholpen en waarschuwt gebruikers waakzaam te zijn voor berichten en oproepen van onbekenden. Volgens Variety volgt de waarschuwing op nieuws dat onbekenden toegang hadden tot het account van zangeres Selena Gomez, waardoor het account naaktfoto's van zanger Justin Bieber publiceerde.

IT-banen

Reacties (42)

source 31 augustus 2017 11:42

Wat ik mij dan afvraag is; Als die API het telefoonnummer teruggeeft.. is er dan nog wel sprake van 'onbevoegd toegang'?

locke960 @source • 31 augustus 2017 11:55

Lijkt me niet. Instagram lijkt me eerder schuldig aan 'onbevoegd delen van prive gegevens'. Maar dat bekt niet zo lekker in een press-release.

Hoe de zo verkregen gegevens gebruikt worden kan natuurlijk wel op allerlei manieren illegaal zijn.

_Thanatos_ @locke960 • 31 augustus 2017 12:18

"onbevoegd delen van prive gegevens" klinkt als opzet. Het lijkt me niet dat hier opzet in het spel was.

SBTweaker @source • 31 augustus 2017 13:38

Ja, ook al weet jij het wachtwoord van iemand heb je nog niet bevoegd toegang.

Mathi159 @SBTweaker • 31 augustus 2017 13:45

Als ik vraag om alle openbare gegevens en daar zitten prive gegevens tussen door een fout van het bedrijf...

ronn0 31 augustus 2017 11:21

Het is natuurlijk niet goed, maar ik ga er wel enigszins vanuit dat de nummers die erin stonden nummers van het management waren.

Wraldpyk @ronn0 • 31 augustus 2017 11:26

Niet iedereen met een verified account heeft automatisch management. Dus in veel gevallen lijkt me dat heel onwaarschijnlijk.

supersnathan94 @ronn0 • 31 augustus 2017 12:18

Lijkt mij niet. Als persoon X dan ergens opnieuw wil inloggen met 2FA moet hij eerst zijn/haar manager bellen.

Verwijderd 31 augustus 2017 11:17

Handig. Die info kan je weer gebruiken om een andere account te comprimitteren. Van instagram naar Facebook, LinkedIN, GMail en noem maar op.

Moet je nu ook overal een uniek telefoonnummer gebruiken, net als een uniek wachtwoord?

Verwijderd @Verwijderd • 31 augustus 2017 11:17

Alsof je met een telefoonnummer ergens in kan komen...

appieh4ck @Verwijderd • 31 augustus 2017 11:22

Je kunt inloggen met je telefoonnummer op Facebook, en dan zie je direct je email in je instellingen. En anders kun je identiteitsfraude plegen door naar de provider te bellen en te zeggen dat je je SIM kwijt bent.

Donstil @appieh4ck • 31 augustus 2017 11:39

Met alleen een telefoonnummer? Daar krijg je echt niet zomaar een simkaart mee hoor, probeer maar een naar Vodafone te bellen en noem een random telefoonnummer. Dan hebben ze toch echt wel een hoop extra gegevens nodig. Met alleen e-mail/telefoon kom je er niet.

SBTweaker @Donstil • 31 augustus 2017 13:39

de meeste bekende mensen hebben een wiki pagina waar voldoende info opstaat, of een facebook account oid

Donstil @SBTweaker • 31 augustus 2017 13:45

Maar niet de informatie welke benodigd is. NAW, iBan enz.

Mathi159 @Donstil • 31 augustus 2017 15:01

Ja, je adres en naam

[Reactie gewijzigd door Mathi159 op 23 juli 2024 22:26]

Donstil @Mathi159 • 31 augustus 2017 15:04

De laatste keer dat ik het deed moest ik bijvoorbeeld ook de laatste cijfers van mijn rekening nummer doorgeven

Verwijderd @appieh4ck • 31 augustus 2017 12:27

Dan heb je meer gegevens nodig zoals IBAN, adres etc en soms ook je ID nummer.

jordygrunn @Verwijderd • 31 augustus 2017 12:31

Naast dat moet je vaak een geboortedatum opgeven, inderdaad zoals je zegt de laatste cijfers van je IBAN en je geboortedatum. Lijkt mij sterk dat je in dit geval er veel mee kan. Dan kun je bij elk telefoonnummer die je op het internet vindt wel bellen met een provider.

Verder: Kun je de provider zien a.d.h.v. een telefoonnummer? Volgens mij gelukkig niet. (Of je moet die persoon kennen en weten welke provider hij of zij gebruikt)

Dorank @jordygrunn • 31 augustus 2017 13:44

Kun je de provider zien a.d.h.v. een telefoonnummer

Dat is publieke toegankelikj via bv ACM: nummers-doorzoeken/

tom.cx @Verwijderd • 31 augustus 2017 11:25

Ja. Er zijn websites die een optie bieden om met een 06nummer het wachtwoord te wijzingen. Je krijgt hier dan een code op waarmee je het kan wijzingen. Als je dan ook nog eens toegang weet te krijgen tot die telefoon... Dan is het plaatje compleet. Maar moet je alsnog het wachtwoord hebben en dat is vaak weer iets lastiger. Ik ga er tenminste wel een beetje vanuit dat zulke mensen wel een wachtwoord manager gebruiken.

Stoelpoot @tom.cx • 31 augustus 2017 11:42

> Als je dan ook nog eens toegang weet te krijgen tot die telefoon... Dan is het plaatje compleet.

En dat is dan een hele grote stap 2 in dit geval

Verwijderd @Verwijderd • 31 augustus 2017 11:22

Niet alleen met een telefoonnummer, nee. Maar het is wel handig!

Ze vragen bij de support om bepaalde info ter verificatie. Daar hoort je nummer ook bij. SMSjes vallen uit dus wie weet kan je je er omheen lullen. Hoe meer info hoe beter.

Of anders: stuur de eigenaren net zo lang authenticatie codes tot ze 2FA uitzetten en dan kan je ook naar binnen.

En als het allemaal tegenzit kan je ze altijd nog stalken.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 22:26]

Great-Force @Verwijderd • 31 augustus 2017 11:28

De LinusTechTips Twitter is vorig jaar aangevallen d.m.v. telefoonnummer. De groep die dit heeft gedaan, heeft bij de provider een nieuwe simkaart aangevraagd, hierop kwam het nieuwe wachtwoord binnen per SMS, en voila ze zijn binnen. Twitter is op zich niet heel bijzonder, maar als je een groot aantal volgers hebt, dan kun je als aanvaller gemakkelijk een link plaatsen met malware en zo een grote groep mensen die jou vertrouwd infecteren.

Link naar YT: https://youtu.be/LlcAHkjbARs?t=3m2s

t link @Verwijderd • 31 augustus 2017 11:54

Bijvoorbeeld ING 2FA werkt gewoon met telefoonnummer, maar ook twitter bijvoorbeeld. lekker veilig als SS7 zo lek is als een mandje. daarom kan je met een telefoon nummer ergens in komen, al helemaal als je wachtwoord reset codes via een sms kan aanvragen (kuch outlook.com/hotmail.com)

biglia @Verwijderd • 31 augustus 2017 11:52

Zijn zo die naaktfoto's van Justin Bieber buitgemaakt, of waren het gewoon oude foto's van een eerdere hack?

Krfstk 31 augustus 2017 11:40

Ik snap niet dat mensen klakkeloos hun (privé) telefoonnummer aan websites koppelen. Het is niet nodig, dat zogenaamde excuus van de websites om jouw account nog beter te beveiligen dmv je telefoonnummer toe te voegen is onzin als je dit zo leest.

modm @Krfstk • 31 augustus 2017 11:45

Als de telefoon gebruikt wordt voor Two Factor Authentication bij login.
Dan voegt het wel degelijk iets toe aan de veiligheid van de account.

@ArcticLight 2 zielen 1 gedachte

[Reactie gewijzigd door modm op 23 juli 2024 22:26]

Krfstk @modm • 31 augustus 2017 11:49

@ArcticLight & @modm

Oke, ik wist niet dat zo iets mogelijk was. Maar gebeurt dat automatisch als je jouw gsm nummer gebruikt? Ik heb altijd het idee dat ze met die info een nog completer profiel van jouw hebben en dus nog meer "waard" is ? Het kan natuurlijk ook doom denken zijn

ArcticLight @Krfstk • 31 augustus 2017 11:45

Er zijn geen accounts gecomprimeerd. Telefoonnummer kan wel degelijk van toegevoegde waarde zijn voor de beveiliging van je account door bijvoorbeeld Two Factor Authentication met een SMS.

Wat @modm ook zegt dus

[Reactie gewijzigd door ArcticLight op 23 juli 2024 22:26]

iAR @ArcticLight • 31 augustus 2017 13:14

Je kunt natuurlijk ook via andere wegen 2 factor authenticatie instellen, via een app.

Zwarte_os @Krfstk • 31 augustus 2017 12:05

totdat je wachtwoord gereset wordt en je nieuwe wachtwoord naar je telefoon gestuurd wordt..

H.Boss @Krfstk • 31 augustus 2017 12:12

Ik vind het bij bijv. Tinder anders erg handig dat ik met mijn telefoonnummer kan registreren en daar geen Facebook voor nodig heb.

Xfade @Krfstk • 31 augustus 2017 12:43

Volgens mij moet je een geverifieerd telefoonnummer aangeven als je een geverifieerde gebruiker wil zijn, waar het hier om gaat.

PdeBie 31 augustus 2017 12:31

Dus het kan zo maar zijn dat door middel van deze bug de telefoonnummers van enkele celebrities bekend is geworden. Mag hopen voor ze dat die nummers niet bekend raken onder de fans. Kunnen ze gelijk een nieuw nummer aan gaan vragen.

Anonymoussaurus

Security

@_Thanatos_ • 31 augustus 2017 12:26

Zoals al meerdere keren is gezegd: tweetrapsauthenticatie. Niet alle diensten werken al met een native app of bijvoorbeeld Google Authenticator. Dan moet het dus nog via SMS.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 22:26]

Dorank @Anonymoussaurus • 31 augustus 2017 13:46

Bij dat soort diensten zet ik geen 2fa aan. En diensten die een mobiel nummer nodig hebben om te kunnen werken vermijd ik.

_Thanatos_ @Anonymoussaurus • 31 augustus 2017 14:54

Dat vind ik een belabberde reden. Je geeft ze wel je telefoonnummer. God weet wat ze daar nog meer mee uitspoken. Google heeft ook allerlei telefoon-achtige dingen (zoals Android) en is heel gretig om alles aan elkaar te knopen. Een goeie kans dat er dus bepaalde zaakjes zijn die zo via-via wel aan jouw telefoonnummer zijn gekomen. Want verkopen van je gegevens doen ze uiteindelijk toch wel. ls niet hier, dan wel in een ander land waar de regels wat relaxter zijn.

En wat Google kan, kan Instagram ook. Of denk je dat ze een infrastructuur van miljoenen hebben, en dat gratis aanbieden omdat ze je lief vinden? Nee, je bent gewoon een product. En je telefoonnummer is een attribuut van jou als product. Ergo, je bent geld waard voor ze.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 22:26]

Anonymoussaurus

Security

@_Thanatos_ • 31 augustus 2017 14:59

Je spreekt jezelf deels tegen. Je vindt privacy belangrijk zo te horen, maar tweetrapsauthenticatie lijkt je niks te boeien. Wat heb je liever? Dat je telefoonnummer uitlekt (als dat gebeurt), of dat je account gehackt wordt?

Buiten dat zijn er zat manieren om makkelijk aan je telefoonnummer te komen. En zoveel maakt het niet uit.. Je kunt nummers blokkeren, en ook spammers via WhatsApp melden en blokkeren. Google en andere sites kunnen je makkelijk helpen aan een telefoonnummer. Openbare profielen, telefoonboek, you name it.

_Thanatos_ @Anonymoussaurus • 1 september 2017 11:11

Het gaat me in de eerste plaats niet om het uitlekken van mijn telefoonnummer. Mijn verontrusting is dat mijn telefoonnummer bij zo'n grote organisatie bekend raakt, en ik heb geen controle over wat ze ermee doen. Temeer omdat ze niet onderhevig zijn aan de relatief strakke privacywetgeving in NL en in de EU. Maar ook omdat de meeste gratis diensten aanbieders feitelijk advertentiebedrijven zijn. Het is hun core-business om zoveel mogelijk gegevens over hun gebruikers binnen te hengelen, en (dus) het doel kan niet zijn dat ze er niets mee doen.

Maar om de redenen die je vervolgens noemt, ga ik juist niét overal mijn telefoonnummer invoeren. Dat werkt dat soort praktijken nml in de hand. Áls er al "schade" is, wil ik die het liefst zoveel mogelijk ingeperkt houden.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 22:26]

Verwijderd @_Thanatos_ • 31 augustus 2017 12:31

2 factor authencicatie misschien?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (42)

Sorteer op:

Weergave: