Dans un email adressé aux profils vérifiés, Instagram indique avoir constaté qu'un ou plusieurs individus ont obtenu un accès non autorisé à des informations de contact " d'utilisateurs de premier plan. " En particulier, des adresses email et numéros de téléphone.
Instagram évoque l'exploitation d'un bug affectant une API et non le réseau social de partage de photos et vidéo lui-même. Il n'y aurait pas eu d'accès illicite à des mots de passe de comptes. Dans le même temps, Instagram enjoint les destinataires du message à renforcer la sécurité de leur compte via l'activation de l'authentification à deux facteurs.
A priori, ce sont les comptes de quelques célébrités qui ont été ciblés mais Instagram n'entre pas dans les détails. Si ledit bug a été corrigé, le conseil pour l'ajout d'une couche de protection supplémentaire avec l'authentification à deux facteurs est valable pour tout le monde.
Instagram got hacked, and they just sent this e-mail to me. Just fantastic... my cell phone number compromised. #instagramhack pic.twitter.com/OkFzFP1pIw
— Gregory Michael (@GregoryMichael) 30 août 2017
L'information sur ce mystérieux bug intervient alors que le compte le plus suivi sur Instagram (hormis le compte @instagram) a été la victime d'un détournement. Il s'agit du compte de la chanteuse Selena Gomez avec plus de 125 millions d'abonnés.
Des photos du chanteur Justin Bieber nu (déjà rendues publiques en 2015 ; Variety) ont été publiées sur le compte de celle qui est son ancienne compagne. La publication inopinée a été rapidement supprimée avec la restauration du contrôle du compte.
Une hypothèse envisageable est qu'à la suite de l'obtention d'informations de contact de Selena Gomez (grâce au fameux bug de l'API), elles ont servi à accéder au contrôle du compte par des techniques d'ingénierie sociale incitant l'intéressée à dévoiler des identifiants.