Cerca nel blog

2019/02/15

“Hackeratemi” l’account Instagram. Questa è la mia password

Ultimo aggiornamento: 2019/02/17 21:00. 

Attivare l’autenticazione a due fattori in Instagram è piuttosto semplice: il problema è convincere gli utenti a usarla per proteggere il proprio account in caso di furto di password.

Così vi propongo un esperimento: ho creato un account Instagram di prova che si chiama 123disinformatico. La sua password è instagramtest.

È protetto dall’autenticazione a due fattori. Provate a prenderne il controllo: avete il mio permesso esplicito.

Con questo piccolo esperimento simulo le condizioni in cui si trova l’utente quando avviene un furto in massa di credenziali, per cui la sua password e il suo nome utente circolano liberamente su Internet insieme a milioni di altri dati analoghi, come avvenuto di recente. In queste condizioni, chiunque metta le mani sugli elenchi di password può tentare di rubare un account e quindi un utente può essere attaccato da numerosissimi aggressori.

Per attivare questo antifurto si va nelle Impostazioni (dalla Home, icona in basso a destra, poi icona con tre trattini in alto a destra), si sceglie Privacy e Sicurezza e poi Autenticazione a due fattori. Qui si sceglie Messaggio di testo oppure (consigliabile) App di autenticazione. Infine si immette il codice ricevuto. Tutto qui.

Per maggiore sicurezza, annotate da qualche parte i codici di recupero che vi vengono proposti: sono la soluzione di estrema emergenza in caso di problemi.


2019/02/17 21:00


Avendo annunciato questo esperimento sia via Twitter sia durante la diretta del Disinformatico alla Radiotelevisione svizzera, ho ricevuto circa 200 mail di notifica di nuovi accessi di questo genere:


È interessante notare che Instagram avvisa del tentativo di accesso e fornisce parecchie informazioni sul possibile intruso: l’orario, il tipo di dispositivo o browser, la geolocalizzazione e (in alcuni casi) l’app utilizzata.

Dopo sette tentativi mi è arrivata una mail di avviso differente:

Ciao 123disinformatico,
qualcuno ha provato ad accedere al tuo account Instagram.
Se eri tu, usa il codice seguente per confermare la tua identità:
[omissis]
Se non eri tu, reimposta la tua password per proteggere il tuo account.

Qualcuno ha anche tentato di resettare la password, ma senza successo:


Hi 123disinformatico,
We got a request to reset your Instagram password.

Reset Password
If you ignore this message, your password will not be changed. If you didn't request a password reset, let us know.

Nonostante il numero elevato di tentativi d’intrusione provenienti da vari luoghi e vari dispositivi, Instagram non mi ha buttato fuori dall’app, ma mi ha obbligato a reimpostare la password con questa schermata, dalla quale non potevo uscire senza cambiare password:


È interessante la segnalazione della disconnessione delle sessioni, che però non vale per il mio dispositivo principale (l’app è rimasta nell’account).

Oggi (dopo due giorni di “attacco”) ho cambiato la password come richiesto. Tutto è tornato a posto. Direi che la dimostrazione ha funzionato.

Nessun commento: