Ваш пароль сбросился не туда Сайт Doxagram распродает оптом и в розницу персональные данные пользователей Instagram, похищенные в результате недавнего взлома сервиса. Как стало известно, уязвимость в системе сброса пароля в мобильных API Instagram позволила злоумышленникам получить доступ к персональным данным миллионов пользователей — в частности, их мобильным телефонам и почтовым адресам. Используя специальную программу, хакеры собрали похищенные сведения в единую базу, которая и была размещена на Doxagram. Как заявил в интервью Ars Technica один из участников взлома, их программа способна собирать данные с миллиона аккаунтов каждый час. Хакер предоставил изданию выборку, насчитывающую данные из 10 тыс. аккаунтов — из них 9911 включали либо телефонный номер, либо адрес электронной почты; 5341 включали телефонный номер, 4341 — и телефонный номер, и почтовый адрес. Изначально злоумышленники (которые утверждают, что они из России) планировали собирать данные только из аккаунтов знаменитостей — тех, у кого в подписчиках миллионы людей. Но затем они решили собирать данные и менее популярных аккаунтов. «Интерфейс для восстановления доступа к аккаунту является крайне распространенной “входной точкой” для получения дополнительной информации об аккаунте жертвы. В подобных случаях передаются и персональные данные (например, номер телефона и адрес электронной почты), что нарушает основы обеспечения их безопасности, — поясняет Валерий Тюхменев, эксперт по информационной безопасности компании SEC Consult Services. — Также остается открытым вопрос, почему команда Instagram, учитывая, что аналогичные атаки случаются регулярно, не провела на должном уровне анализ защищенности своего продукта по данному вектору.