Le bug d'API qu'Instagram a corrigé cette semaine n'aurait pas seulement permis à des internautes de récupérer les numéros de téléphone et les adresses mail de plusieurs célébrités. Selon Ars Technica, 6 millions de comptes seraient concernés si l'authenticité des données proposées à la vente sur le web est confirmée.

Le bug d’API qui a permis un accès aux données personnelles — adresse mail et numéro de téléphone — de plusieurs célébrités présentes sur Instagram a peut-être eu des conséquences plus importantes que ne le laissait entendre le réseau social. Une base de données contenant 10 000 identifiants Instagram a en effet été mise en ligne jeudi 31 août, comme le rapporte Ars Technica.

Dans un mail en date du 30 août adressé à tous les comptes certifiés «  par excès de prudence », Instagram affirmait avoir corrigé le bug d’API, sans toutefois indiquer la portée de cette intrusion — qui n’aurait donc pas seulement touché les célébrités, appelées à renforcer la sécurité de leur compte.

Depuis, un internaute — qui a contacté Ars Technica — affirme avoir récolté les données personnelles de 6 millions d’utilisateurs. Il les propose librement à la vente sur un site, moyennant 10 dollars par compte.

« Les indications montrent que ces données sont véridiques »

En l’absence de confirmation d’Instagram sur la véracité de cet ensemble — même si le réseau social enquête actuellement sur le sujet –, Ars Technica, qui a pu parcourir un échantillon de 10 000 comptes fourni par le mystérieux internaute, indique : « 9 911 incluent un numéro de téléphone ou un mail, 5 341 contiennent un numéro de téléphone et 4 341 comportent [les deux]. […] Une recherche menée sur une douzaine de noms d’utilisateurs a prouvé qu’ils correspondaient à de véritables comptes et qu’ils concordaient avec les numéros de téléphone liés. »

Cet échantillon, qui concerne notamment des comptes suivis par des millions d’abonnés, a également été analysé par Troy Hunt, un spécialiste en cybersécurité : « Ma conclusion, c’est qu’on ne trouve rien [dans cet ensemble] qui désavoue les données. Il est possible qu’elles aient été compilées depuis d’autres sources, mais toutes les indications montrent qu’elles sont véridiques. » Le spécialiste a par ailleurs précisé sur Twitter : « Je me suis penché [sur cette affaire] sérieusement, je suis quasiment sûr que c’est véridique. »

Instagram n’a pas encore confirmé ou infirmé cette fuite de données

Le mystérieux revendeur de données, qui aurait découvert le bug d’API sur le chat IRC, prétend avoir puisé automatiquement dans les données d’Instagram au rythme d’environ 500 000 comptes par heure, avant que le réseau social ne corrige le bug — 12 heures après le début de son opération.

Le 28 août, la publication (éphémère) de photos de Justin Bieber nu sur le compte Instagram de son ex-compagne, la chanteuse Selena Gomez avait créé l’émoi auprès de ses 125 millions d’abonnés, sans que l’origine de ce potentiel piratage ne soit éclaircie.

Partager sur les réseaux sociaux