{"id":45180,"date":"2015-12-19T10:53:25","date_gmt":"2015-12-19T09:53:25","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=45180"},"modified":"2019-07-11T20:23:02","modified_gmt":"2019-07-11T19:23:02","slug":"instragram-server-violati-facebook-hacker","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/instragram-server-violati-facebook-hacker\/45180\/","title":{"rendered":"Instagram. Server violati. Facebook minaccia l&#8217;hacker"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f8b666eaa55\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f8b666eaa55\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/instragram-server-violati-facebook-hacker\/45180\/#Instragram_Server_violati_e_dati_scoperti\" >Instragram. Server violati e dati scoperti<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/instragram-server-violati-facebook-hacker\/45180\/#Instagram_Cosa_era_nascosto_nei_server_violati\" >Instagram. Cosa era nascosto nei server violati?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/instragram-server-violati-facebook-hacker\/45180\/#La_falla_rivelata_ma_Facebook_avrebbe_minacciato_querela\" >La falla rivelata, ma Facebook\u00a0(avrebbe) minacciato querela<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/instragram-server-violati-facebook-hacker\/45180\/#Instagram_server_violati_La_risposta_di_Facebook\" >Instagram, server violati. La risposta di Facebook<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/instragram-server-violati-facebook-hacker\/45180\/#Instragram_server_violati_e_minacce_La_dichiarazione_completa_di_Facebook\" >Instragram, server violati e minacce. La dichiarazione completa di Facebook:<\/a><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<p>Violare, hackerare il server di Instagram. Un sogno per molti pirati informatici e anche per molti bug bounty, ricercatori di vulnerabilit\u00e0\u00a0che grazie alla segnalazione fatta all&#8217;azienda, in questo caso Facebook, ricevono un compenso.\u00a0Ma stavolta\u00a0non sembrerebbe andata bene allo specialista in sicurezza informatica Wesley Wineberg, \u00a0che sarebbe stato minacciato\u00a0dal social network per\u00a0la sua scoperta e per aver avuto accessi non autorizzati ai sistemi.<\/p>\n<h1><span class=\"ez-toc-section\" id=\"Instragram_Server_violati_e_dati_scoperti\"><\/span>Instragram. Server violati e dati scoperti<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<figure id=\"attachment_45186\" aria-describedby=\"caption-attachment-45186\" style=\"width: 200px\" class=\"wp-caption alignleft\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-45186 size-full\" title=\"Wesley Wineberg\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2015\/12\/wineberg.jpg\" alt=\"Wesley Wineberg, Senior Security Research Engineer presso la Synack, Inc.\" width=\"200\" height=\"200\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2015\/12\/wineberg.jpg 200w, https:\/\/alground.com\/site\/wp-content\/uploads\/2015\/12\/wineberg-150x150.jpg 150w\" sizes=\"auto, (max-width: 200px) 100vw, 200px\" \/><figcaption id=\"caption-attachment-45186\" class=\"wp-caption-text\">Wesley Wineberg, Senior Security Research Engineer presso la Synack, Inc.<\/figcaption><\/figure>\n<p><b>Wesley Wineberg<\/b>, un ricercatore di sicurezza di SYNACK, ha partecipato al programma bug bounty di Facebook e ha iniziato l&#8217;analisi dei sistemi Instagram dopo che uno dei suoi amici gli aveva\u00a0accennato a un server potenzialmente vulnerabile situato su\u00a0sensu.instagram.com.\u00a0Il ricercatore ha scoperto un bug \u00a0RCE <b>(Remote Code <\/b><strong>Execution<\/strong>) che si nascondeva nel\u00a0modo in cui\u00a0vengono\u00a0processati\u00a0i cookies di sessione degli utenti \u00a0che vengono generalmente utilizzati per ricordare dettagli di login e preferenze degli utenti stessi.<\/p>\n<div>\n<p>L&#8217;esecuzione del codice da remoto\u00a0\u00e8 possibile\u00a0grazie a due punti deboli:<\/p>\n<ol>\n<li>L&#8217;applicazione web Sensu-Admin in esecuzione sul server conteneva un token segreto di Ruby<\/li>\n<li>L&#8217;host che esegue una versione di Ruby (3.x), era vulnerabile ad una\u00a0esecuzione di codice attraverso il cookie di sessione\u00a0dello stesso Ruby<\/li>\n<\/ol>\n<p>Sfruttando la vulnerabilit\u00e0, Wineberg\u00a0\u00e8 stato in grado di forzare il server a scaricare il\u00a0database contenente i dati d&#8217;accesso, tra cui credenziali di Instagram e\u00a0dipendenti di\u00a0Facebook.\u00a0Anche se le password erano cifrate\u00a0con &#8216;bcrypt&#8217;, Wineberg\u00a0\u00e8 stato in grado di decodificarne\u00a0una dozzina sfruttando parecchi punti deboli in pochi minuti.<\/p>\n<\/div>\n<div><\/div>\n<p>L&#8217;esperto \u00e8 cos\u00ec riuscito ad ottenere<b><i>\u00a0l&#8217;accesso ai dati sensibili memorizzati sui server di <\/i><\/b><a href=\"http:\/\/instagram.com\" target=\"_blank\" rel=\"noopener noreferrer\">Instagram<\/a>, tra cui:<\/p>\n<ul>\n<li>Codice sorgente del\u00a0sito di Instagram<\/li>\n<li>Certificati SSL e chiavi private per Instagram<\/li>\n<li>Chiavi utilizzate per firmare i cookie di autenticazione<\/li>\n<li>Dati personali degli utenti Instagram e di alcuni dipendenti<\/li>\n<li>Le credenziali del server e-mail<\/li>\n<li>Chiavi\u00a0per pi\u00f9 di una mezza dozzina di altre funzioni critiche<\/li>\n<\/ul>\n<h3><span class=\"ez-toc-section\" id=\"Instagram_Cosa_era_nascosto_nei_server_violati\"><\/span>Instagram. Cosa era nascosto nei server violati?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Wineberg\u00a0non si \u00e8 fermato qui. Ha potuto vedere da vicino altri file di configurazione che ha trovato sul server e ha scoperto che uno dei file conteneva alcune chiavi per\u00a0accedere ad account di\u00a0Amazon Web Services, il servizio di cloud computing utilizzato per ospitare l&#8217;installazione Sensu di Instagram.<\/p>\n<div>Wineberg\u00a0aveva inavvertitamente aperto un varco\u00a0su quasi tutto, tra cui:<\/div>\n<ul>\n<li>Il codice sorgente di Instagram<\/li>\n<li>Certificati SSL e chiavi private (anche per instagram.com e * .instagram.com)<\/li>\n<li>API che vengono utilizzate per interagire con altri servizi<\/li>\n<li>Le immagini caricate dagli utenti Instagram<\/li>\n<li>Contenuto statico dal sito instagram.com<\/li>\n<li>Le credenziali del server e-mail<\/li>\n<li>iOS \/ Android app con le chiavi\u00a0di cifratura<\/li>\n<li>Altri dati sensibili<\/li>\n<\/ul>\n<p>[blockquote style=&#8221;1&#8243;]&#8221;Dire che avevo ottenuto\u00a0l&#8217;accesso a praticamente tutti i materiali segreti di Instagram sarebbe stata probabilmente una dichiarazione giusta&#8221; ha scritto Wineberg\u00a0nel suo blog. &#8220;Con le chiavi\u00a0che ho ottenuto, potevo facilmente impersonare\u00a0Instagram, o qualsiasi utente valido o un addetto del\u00a0personale. Mentre fuori del campo di applicazione, avrei potuto ottenere l&#8217;accesso completo all&#8217;account di qualsiasi utente, foto e dati personali []. &#8220;[\/blockquote]<\/p>\n<h3><span class=\"ez-toc-section\" id=\"La_falla_rivelata_ma_Facebook_avrebbe_minacciato_querela\"><\/span>La falla rivelata, ma Facebook\u00a0(avrebbe) minacciato querela<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<div>\n<figure id=\"attachment_45187\" aria-describedby=\"caption-attachment-45187\" style=\"width: 300px\" class=\"wp-caption alignleft\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-45187 size-medium\" title=\"Alex Stamos\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2015\/12\/AlexStamos-300x239.jpg\" alt=\"Alex Stamos, il capo della sicurezza di Facebook\" width=\"300\" height=\"239\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2015\/12\/AlexStamos-300x239.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2015\/12\/AlexStamos.jpg 650w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><figcaption id=\"caption-attachment-45187\" class=\"wp-caption-text\">Alex Stamos, il capo della sicurezza di Facebook<\/figcaption><\/figure>\n<p>Wineberg\u00a0ha riferito le sue scoperte al team di sicurezza di Facebook, ma il gigante dei social media era preoccupato del fatto che il ricercatore avesse accesso ai dati privati \u200b\u200bdei propri utenti e dipendenti. Invece di ricevere un premio da Facebook per il suo lavoro, Wineberg\u00a0sarebbe stato escluso\u00a0dal\u00a0programma bug bounty di Facebook.<\/p>\n<\/div>\n<p>Ai primi di dicembre, Wineberg\u00a0ha inoltre aggiunto\u00a0che Jay Kaplan, il CEO della sua azienda, la\u00a0SYNACK, \u00a0avrebbe\u00a0ricevuto una telefonata dal capo della sicurezza di Facebook <b>Alex Stamos<\/b>\u00a0per quanto riguardava le azioni effettuate\u00a0da\u00a0Weinberg. Stamos si sarebbe lamentato del fatto che il ricercatore aveva scoperto e lasciato\u00a0Instagram \u00a0e Facebook vulnerabili ad\u00a0un attacco devastante.<\/p>\n<p>Il numero uno della sicurezza del portale in blu avrebbe dichiarato &#8220;<i>che non voleva coinvolgere\u00a0il team legale di Facebook , ma si chiedeva se questa storia non andasse\u00a0riferita alle\u00a0forze dell&#8217;ordine&#8221;,<\/i>\u00a0ha scritto Wineberg\u00a0nel suo blog in un post intitolato\u00a0<b>\u00abminacce e intimidazioni<\/b> . &#8216;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Instagram_server_violati_La_risposta_di_Facebook\"><\/span>Instagram, server violati. La risposta di Facebook<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Dopo la pubblicazione dell&#8217;articolo\u00a0da parte\u00a0del ricercatore, Facebook ha rilasciato\u00a0la sua risposta.\u00a0Il gigante dei social media ha confermato l&#8217;esistenza del bug nel dominio sensu.instagram.com e ha promesso una ricompensa\u00a0di $ 2.500 \u00a0per Wineberg\u00a0e il suo amico che ha inizialmente fatto le prime scoperte\u00a0sul\u00a0server.<\/p>\n<p>Tuttavia, le altre vulnerabilit\u00e0 che hanno permesso a Wineberg\u00a0di ottenere l&#8217;accesso a dati sensibili <strong>non erano segnalate<\/strong>, e\u00a0Facebook ha ritenuto questo come una\u00a0violazione della privacy degli utenti durante l&#8217;accesso ai dati. Nonostante ci\u00f2, Facebook spiega\u00a0che le affermazioni su una loro presunta intimidazione sono\u00a0false e che a Wineberg\u00a0non \u00e8 mai stato detto di non pubblicare le sue ricerche, piuttosto gli \u00e8 stato\u00a0chiesto di non divulgare le informazioni non di dominio pubblico.<\/p>\n<p>Lo stesso Alex Stamos ha rilasciato una dichiarazione, dicendo di\u00abnon aver\u00a0minacciato azioni legali contro SYNACK o [Weinberg] n\u00e9 di aver\u00a0mai chiesto che \u00a0Wineberg\u00a0venisse\u00a0licenziato.&#8221;\u00a0Stamos ha riferito\u00a0di aver solo\u00a0detto a Kaplan di\u00a0&#8220;<strong>voler tenere fuori\u00a0gli\u00a0avvocati<\/strong> di entrambe le parti fuori da questa storia.&#8221;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Instragram_server_violati_e_minacce_La_dichiarazione_completa_di_Facebook\"><\/span>Instragram, server violati e minacce. La dichiarazione completa di Facebook:<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<blockquote><p>Siamo forti sostenitori della ricerca riguardo la\u00a0sicurezza e si sono\u00a0costruite relazioni positive con migliaia di persone attraverso il nostro programma bug bounty. Questi rapporti devono includere fiducia, per\u00f2, e questo\u00a0include la notifica dei dettagli di bug\u00a0che vengono eventualmente\u00a0trovati e non devono essere\u00a0utilizzati per accedere alle informazioni private in modo non autorizzato. In questo caso, il ricercatore ha volutamente trattenuto informazioni importanti sul bug e non le ha riferite al\u00a0nostro team andano\u00a0ben oltre le linee guida del nostro programma per trovare\u00a0dati privati dai sistemi interni.<\/p><\/blockquote>\n<blockquote><p>Abbiamo pagato per\u00a0la sua prima segnalazione di bug, anche se non \u00e8 stato\u00a0il primo a segnalarlo, ma non abbiamo pagato per le informazioni successive che aveva omesso. In nessun momento abbiamo detto che non poteva pubblicare le sue scoperte &#8211; abbiamo chiesto di\u00a0astenersi dal divulgare le informazioni non pubbliche\u00a0per accedere in violazione alle\u00a0nostre linee guida del programma. Rimaniamo fermamente impegnati\u00a0a pagare per la ricerca di alta qualit\u00e0 e aiutare la comunit\u00e0 del duro lavoro dei ricercatori.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Violare, hackerare il server di Instagram. Un sogno per molti pirati informatici e anche per molti bug bounty, ricercatori di vulnerabilit\u00e0\u00a0che grazie alla segnalazione fatta all&#8217;azienda, in questo caso Facebook, ricevono un compenso.\u00a0Ma stavolta\u00a0non sembrerebbe andata bene allo specialista in sicurezza informatica Wesley Wineberg, \u00a0che sarebbe stato minacciato\u00a0dal social network per\u00a0la sua scoperta e per [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":45181,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413],"tags":[],"class_list":{"0":"post-45180","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2015\/12\/instagram.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/45180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=45180"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/45180\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/45181"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=45180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=45180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=45180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}