Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bug in Instagram-api gaf toegang tot telefoonnummers geverifieerde gebruikers

Door , 42 reacties

Facebook-dochter Instagram heeft gewaarschuwd dat gegevens van accounts toegankelijk waren door een bug in zijn api. Volgens het bedrijf was er toegang tot e-mailadressen en telefoonnummers van high profile gebruikers.

In een mededeling, die onder meer is gepubliceerd door Variety, schrijft Instagram: "We zijn er onlangs achter gekomen dat één of meer individuen onbevoegd toegang hebben gekregen tot een aantal high profile Instagram-accounts door een bug in de api. Daarbij ging het specifiek om e-mailadressen en telefoonnummers." Er zouden geen wachtwoorden zijn buitgemaakt.

Het bedrijf heeft al zijn geverifieerde gebruikers, te herkennen aan een blauw vinkje, op de hoogte gesteld van de bug, aldus The Verge. Het is onduidelijk of er alleen toegang was tot een bepaald aantal accounts, of dat alle accounts kwetsbaar waren en de individuen in kwestie alleen geïnteresseerd waren in gegevens van accounts van bekende personen.

Instagram zegt dat de bug inmiddels is verholpen en waarschuwt gebruikers waakzaam te zijn voor berichten en oproepen van onbekenden. Volgens Variety volgt de waarschuwing op nieuws dat onbekenden toegang hadden tot het account van zangeres Selena Gomez, waardoor het account naaktfoto's van zanger Justin Bieber publiceerde.

Sander van Voorst

Nieuwsredacteur

31 augustus 2017 11:12

42 reacties

Linkedin Google+

Reacties (42)

Wijzig sortering
Wat ik mij dan afvraag is; Als die API het telefoonnummer teruggeeft.. is er dan nog wel sprake van 'onbevoegd toegang'?
Lijkt me niet. Instagram lijkt me eerder schuldig aan 'onbevoegd delen van prive gegevens'. Maar dat bekt niet zo lekker in een press-release.

Hoe de zo verkregen gegevens gebruikt worden kan natuurlijk wel op allerlei manieren illegaal zijn.
"onbevoegd delen van prive gegevens" klinkt als opzet. Het lijkt me niet dat hier opzet in het spel was.
Ja, ook al weet jij het wachtwoord van iemand heb je nog niet bevoegd toegang.
Als ik vraag om alle openbare gegevens en daar zitten prive gegevens tussen door een fout van het bedrijf...
Het is natuurlijk niet goed, maar ik ga er wel enigszins vanuit dat de nummers die erin stonden nummers van het management waren.
Niet iedereen met een verified account heeft automatisch management. Dus in veel gevallen lijkt me dat heel onwaarschijnlijk.
Lijkt mij niet. Als persoon X dan ergens opnieuw wil inloggen met 2FA moet hij eerst zijn/haar manager bellen.
Handig. Die info kan je weer gebruiken om een andere account te comprimitteren. Van instagram naar Facebook, LinkedIN, GMail en noem maar op.

Moet je nu ook overal een uniek telefoonnummer gebruiken, net als een uniek wachtwoord?
Alsof je met een telefoonnummer ergens in kan komen... :9
Je kunt inloggen met je telefoonnummer op Facebook, en dan zie je direct je email in je instellingen. En anders kun je identiteitsfraude plegen door naar de provider te bellen en te zeggen dat je je SIM kwijt bent.
Met alleen een telefoonnummer? Daar krijg je echt niet zomaar een simkaart mee hoor, probeer maar een naar Vodafone te bellen en noem een random telefoonnummer. Dan hebben ze toch echt wel een hoop extra gegevens nodig. Met alleen e-mail/telefoon kom je er niet.
de meeste bekende mensen hebben een wiki pagina waar voldoende info opstaat, of een facebook account oid
Maar niet de informatie welke benodigd is. NAW, iBan enz.
Ja, je adres en naam 8)7

[Reactie gewijzigd door Mathi159 op 31 augustus 2017 15:01]

De laatste keer dat ik het deed moest ik bijvoorbeeld ook de laatste cijfers van mijn rekening nummer doorgeven 8)7
Dan heb je meer gegevens nodig zoals IBAN, adres etc en soms ook je ID nummer.
Naast dat moet je vaak een geboortedatum opgeven, inderdaad zoals je zegt de laatste cijfers van je IBAN en je geboortedatum. Lijkt mij sterk dat je in dit geval er veel mee kan. Dan kun je bij elk telefoonnummer die je op het internet vindt wel bellen met een provider.

Verder: Kun je de provider zien a.d.h.v. een telefoonnummer? Volgens mij gelukkig niet. (Of je moet die persoon kennen en weten welke provider hij of zij gebruikt)
Kun je de provider zien a.d.h.v. een telefoonnummer
Dat is publieke toegankelikj via bv ACM: nummers-doorzoeken/
Ja. Er zijn websites die een optie bieden om met een 06nummer het wachtwoord te wijzingen. Je krijgt hier dan een code op waarmee je het kan wijzingen. Als je dan ook nog eens toegang weet te krijgen tot die telefoon... Dan is het plaatje compleet. Maar moet je alsnog het wachtwoord hebben en dat is vaak weer iets lastiger. Ik ga er tenminste wel een beetje vanuit dat zulke mensen wel een wachtwoord manager gebruiken.
> Als je dan ook nog eens toegang weet te krijgen tot die telefoon... Dan is het plaatje compleet.

En dat is dan een hele grote stap 2 in dit geval ;)
Niet alleen met een telefoonnummer, nee. Maar het is wel handig!

Ze vragen bij de support om bepaalde info ter verificatie. Daar hoort je nummer ook bij. SMSjes vallen uit dus wie weet kan je je er omheen lullen. Hoe meer info hoe beter.

Of anders: stuur de eigenaren net zo lang authenticatie codes tot ze 2FA uitzetten en dan kan je ook naar binnen.

En als het allemaal tegenzit kan je ze altijd nog stalken.

[Reactie gewijzigd door CurtPoindexter op 31 augustus 2017 11:23]

De LinusTechTips Twitter is vorig jaar aangevallen d.m.v. telefoonnummer. De groep die dit heeft gedaan, heeft bij de provider een nieuwe simkaart aangevraagd, hierop kwam het nieuwe wachtwoord binnen per SMS, en voila ze zijn binnen. Twitter is op zich niet heel bijzonder, maar als je een groot aantal volgers hebt, dan kun je als aanvaller gemakkelijk een link plaatsen met malware en zo een grote groep mensen die jou vertrouwd infecteren.

Link naar YT: https://youtu.be/LlcAHkjbARs?t=3m2s
Bijvoorbeeld ING 2FA werkt gewoon met telefoonnummer, maar ook twitter bijvoorbeeld. lekker veilig als SS7 zo lek is als een mandje. daarom kan je met een telefoon nummer ergens in komen, al helemaal als je wachtwoord reset codes via een sms kan aanvragen (kuch outlook.com/hotmail.com)
Zijn zo die naaktfoto's van Justin Bieber buitgemaakt, of waren het gewoon oude foto's van een eerdere hack?
Ik snap niet dat mensen klakkeloos hun (privé) telefoonnummer aan websites koppelen. Het is niet nodig, dat zogenaamde excuus van de websites om jouw account nog beter te beveiligen dmv je telefoonnummer toe te voegen is onzin als je dit zo leest.
Als de telefoon gebruikt wordt voor Two Factor Authentication bij login.
Dan voegt het wel degelijk iets toe aan de veiligheid van de account.

@ArcticLight 2 zielen 1 gedachte ;)

[Reactie gewijzigd door modm op 31 augustus 2017 11:47]

@ArcticLight & @modm

Oke, ik wist niet dat zo iets mogelijk was. Maar gebeurt dat automatisch als je jouw gsm nummer gebruikt? Ik heb altijd het idee dat ze met die info een nog completer profiel van jouw hebben en dus nog meer "waard" is ? Het kan natuurlijk ook doom denken zijn :)
Er zijn geen accounts gecomprimeerd. Telefoonnummer kan wel degelijk van toegevoegde waarde zijn voor de beveiliging van je account door bijvoorbeeld Two Factor Authentication met een SMS.

Wat @modm ook zegt dus :)

[Reactie gewijzigd door ArcticLight op 31 augustus 2017 11:48]

Je kunt natuurlijk ook via andere wegen 2 factor authenticatie instellen, via een app.
totdat je wachtwoord gereset wordt en je nieuwe wachtwoord naar je telefoon gestuurd wordt..
Ik vind het bij bijv. Tinder anders erg handig dat ik met mijn telefoonnummer kan registreren en daar geen Facebook voor nodig heb.
Volgens mij moet je een geverifieerd telefoonnummer aangeven als je een geverifieerde gebruiker wil zijn, waar het hier om gaat.
Dus het kan zo maar zijn dat door middel van deze bug de telefoonnummers van enkele celebrities bekend is geworden. Mag hopen voor ze dat die nummers niet bekend raken onder de fans. Kunnen ze gelijk een nieuw nummer aan gaan vragen.
Zoals al meerdere keren is gezegd: tweetrapsauthenticatie. Niet alle diensten werken al met een native app of bijvoorbeeld Google Authenticator. Dan moet het dus nog via SMS.

[Reactie gewijzigd door AnonymousWP op 31 augustus 2017 12:27]

Bij dat soort diensten zet ik geen 2fa aan. En diensten die een mobiel nummer nodig hebben om te kunnen werken vermijd ik.
Dat vind ik een belabberde reden. Je geeft ze wel je telefoonnummer. God weet wat ze daar nog meer mee uitspoken. Google heeft ook allerlei telefoon-achtige dingen (zoals Android) en is heel gretig om alles aan elkaar te knopen. Een goeie kans dat er dus bepaalde zaakjes zijn die zo via-via wel aan jouw telefoonnummer zijn gekomen. Want verkopen van je gegevens doen ze uiteindelijk toch wel. ls niet hier, dan wel in een ander land waar de regels wat relaxter zijn.

En wat Google kan, kan Instagram ook. Of denk je dat ze een infrastructuur van miljoenen hebben, en dat gratis aanbieden omdat ze je lief vinden? Nee, je bent gewoon een product. En je telefoonnummer is een attribuut van jou als product. Ergo, je bent geld waard voor ze.

[Reactie gewijzigd door _Thanatos_ op 31 augustus 2017 14:55]

Je spreekt jezelf deels tegen. Je vindt privacy belangrijk zo te horen, maar tweetrapsauthenticatie lijkt je niks te boeien. Wat heb je liever? Dat je telefoonnummer uitlekt (als dat gebeurt), of dat je account gehackt wordt?

Buiten dat zijn er zat manieren om makkelijk aan je telefoonnummer te komen. En zoveel maakt het niet uit.. Je kunt nummers blokkeren, en ook spammers via WhatsApp melden en blokkeren. Google en andere sites kunnen je makkelijk helpen aan een telefoonnummer. Openbare profielen, telefoonboek, you name it.
Het gaat me in de eerste plaats niet om het uitlekken van mijn telefoonnummer. Mijn verontrusting is dat mijn telefoonnummer bij zo'n grote organisatie bekend raakt, en ik heb geen controle over wat ze ermee doen. Temeer omdat ze niet onderhevig zijn aan de relatief strakke privacywetgeving in NL en in de EU. Maar ook omdat de meeste gratis diensten aanbieders feitelijk advertentiebedrijven zijn. Het is hun core-business om zoveel mogelijk gegevens over hun gebruikers binnen te hengelen, en (dus) het doel kan niet zijn dat ze er niets mee doen.

Maar om de redenen die je vervolgens noemt, ga ik juist niét overal mijn telefoonnummer invoeren. Dat werkt dat soort praktijken nml in de hand. Áls er al "schade" is, wil ik die het liefst zoveel mogelijk ingeperkt houden.

[Reactie gewijzigd door _Thanatos_ op 1 september 2017 11:12]

2 factor authencicatie misschien?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*