meridian-shaft Jump to content
Forums

Hack étrange Instagram


Go to solution Solved by Le PoissonClown,

Recommended Posts

Bonjour à vous,

 

J'ai une de mes connaissances qui s'est fait "pirater" son compte Instagram par simple clique sur un lien du type : http://giftcartXXXX.shop/pseudo_instagram

Bref, ce que je ne comprends pas c'est que cette même personne me dit qu'elle n'a rentré aucun code ni mot de passe après avoir cliqué sur ce lien. Ce qui se passe ensuite c'est que sans le vouloir, se lien a été envoyé à l'ensemble de ses contacts avec qui elle a déjà discuté, bien évidemment l'url était différente (les XXXX correspondent à un nombre différent pour chaque personne). Puis, en me rendant sur le lien giftcartXXXX.shop on est redirigé vers Instagram, donc là je suis un peu perdu sur la manière dont le "hack" a pu fonctionner.

 

Voilà je tenais juste à savoir si quelqu'un pouvait m'expliquer (à but informatif et préventif) comment il était possible après simplement un clic sur un lien de pouvoir envoyer à tous les contacts un message personnalisé. Si un simple clic suffit à présent pour prendre possession d'un compte, sans que la personne rentre ses données, c'est un peu flippant.

 

Bonne journée à vous !

 

Link to comment

Salut @Le PoissonClown!

 

Ce qui se passe c'est que plusieurs de ses connaissances ont également cliqué sur le lien (chaque utilisateur a un lien différent les XXXX + nom_utilisateur dans l'URL), et ils se sont retrouvés également "hack". Donc une appli véroléé sur l'ensemble des appareils me semble un peu gros

 

Mais le rien n'est impossible me fait douter. Cela voudrait dire qu'actuellement il est possible par un simple clic sur un lien depuis admettons un compte Instagram, la personne ayant crée ce lien récupère notre identifiant (pourquoi pas), mais également notre mot de passe en clair ? (cela me semble un peu gros, et avec peu de sécurité de la part d'Instagram)

 

Je ne sais pas si vous voyez mes doutes, enfin prévenir du fishing ok, mais prévenir du clic sur un lien me semble plus complexe

  • J'aime 1
Link to comment

Salut,  

Si @Le PoissonClown me le permet, j'ajouterai ceci.

il y a 16 minutes, Quentin33 a dit :

Cela voudrait dire qu'actuellement il est possible par un simple clic sur un lien depuis admettons un compte Instagram, la personne ayant crée ce lien récupère notre identifiant (pourquoi pas), mais également notre mot de passe en clair ? (cela me semble un peu gros, et avec peu de sécurité de la part d'Instagram)

Si le site arrive à snifer le jeton de connexion d'Instagram grâce à une faille du navigateur, rien de sorcier en effet pour se connecter depuis un autre PC sans disposer des identifiants. Comment crois-tu que des milliers (si ce n'est plus) de comptes mails (Orange, SFR, Microsoft), ou autres (Facebook entre autre, même groupe que Insta...) se fassent pirater depuis des années de la sorte ? Il y a une règle à retenir : TOUJOURS se déconnecter (Webmail, Réseaux sociaux...) avant de fermer l'onglet sur lequel on se trouvait, pour ne pas que ce jeton de connexion soit conservé lorsque l'onglet est fermé.

Edited by Toto61
  • Plusser (+1) 1
Link to comment
il y a 7 minutes, Quentin33 a dit :

Ce qui se passe c'est que plusieurs de ses connaissances ont également cliqué sur le lien (chaque utilisateur a un lien différent les XXXX + nom_utilisateur dans l'URL), et ils se sont retrouvés également "hack". Donc une appli véroléé sur l'ensemble des appareils me semble un peu gros

Effectivement. Bonjour la faille.

il y a 8 minutes, Quentin33 a dit :

la personne ayant crée ce lien récupère notre identifiant (pourquoi pas), mais également notre mot de passe en clair ?

Non, je ne pense pas. Elle récupère certainement la connexion comme l'évoque @Toto61, et de là elle peut publier à tous les contacts. Mais théoriquement elle ne peut pas voir le mot de passe (nécessite de prendre le contrôle de l'appli, et pas seulement le compte) et ne peut pas non-plus le changer (nécessite une confirmation par mail).

  • J'aime 1
  • Plusser (+1) 1
Link to comment
Il y a 3 heures, Toto61 a dit :

Salut,  

Si @Le PoissonClown me le permet, j'ajouterai ceci.

Si le site arrive à snifer le jeton de connexion d'Instagram grâce à une faille du navigateur, rien de sorcier en effet pour se connecter depuis un autre PC sans disposer des identifiants. Comment crois-tu que des milliers (si ce n'est plus) de comptes mails (Orange, SFR, Microsoft), ou autres (Facebook entre autre, même groupe que Insta...) se fassent pirater depuis des années de la sorte ? Il y a une règle à retenir : TOUJOURS se déconnecter (Webmail, Réseaux sociaux...) avant de fermer l'onglet sur lequel on se trouvait, pour ne pas que ce jeton de connexion soit conservé lorsque l'onglet est fermé.

Bonsoir bonsoir !

 

Pour moi les milliers de comptes piratés étaient simplement dû à un phishing où la personne rentrait son identifiant et son mot de passe. Concernant le jeton dont vous parlez, les liens ont été ouvert sur mobile, donc depuis l'application Instagram, fonctionnement assez différent d'un navigateur "complet" je pense (je m'y connais pas trop, je demande). Tout doit sans doute rester en interne, c'est pour cela que ça me semble très bizarre.

Link to comment
  • Solution
Il y a 2 heures, Quentin33 a dit :

Concernant le jeton dont vous parlez, les liens ont été ouvert sur mobile, donc depuis l'application Instagram, fonctionnement assez différent d'un navigateur "complet" je pense (je m'y connais pas trop, je demande). Tout doit sans doute rester en interne, c'est pour cela que ça me semble très bizarre.

D'après ce que je peux lire de l'API d'Instagram, il y a bien un jeton de connexion pour l'appli android. Et il y a des outils en ligne qui permettent de récupérer ce jeton pour certaines tâches comme publier en même temps sur plusieurs réseaux sociaux, ou afficher son compte sur un site… Donc si ça se tombe c'est même assez simple de faire ce genre de piratage. :c_coldsweat: Heureusement qu'un jeton de connexion ça se périme.

  • J'aime 2
  • Plusser (+1) 1
Link to comment
Il y a 10 heures, Le PoissonClown a dit :

D'après ce que je peux lire de l'API d'Instagram, il y a bien un jeton de connexion pour l'appli android. Et il y a des outils en ligne qui permettent de récupérer ce jeton pour certaines tâches comme publier en même temps sur plusieurs réseaux sociaux, ou afficher son compte sur un site… Donc si ça se tombe c'est même assez simple de faire ce genre de piratage. :c_coldsweat: Heureusement qu'un jeton de connexion ça se périme.

Ah oui d'accord je vois, assez embetant tout de même :c_coldsweat:

 

Merci pour toutes les infos !

Link to comment
Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...