Centinaia di account Instagram hanno subito un furto di identità, per un attacco hacker con l’intendo di rivendere illegalmente gli username più ambiti. Lo stesso è accaduto anche su TikTok e Twitter, che hanno rimosso prontamente diversi account rubati da questi hacker, rispecchiando le azioni dello stesso Instagram.
Al centro di questo attacco ci sarebbe la comunità di OGUsers, un sito web noto per il traffico di username rubati. Questo favorisce il furto di questi account sfruttando metodi come lo scambio di SIM. Infatti controllando il numero di telefono di un determinato account è possibile controllare l’intera rosa di social media in suo possesso. Ciò è possibile sfruttando la conferma via SMS, o l’autenticazione a due fattori. Già nel 2020, la piattaforma era entrata in possesso di profili di celebrità come Elon Musk e Barack Obama. Si scoprì inoltre che l’attacco fu opera di un minorenne, caratteristica simile alla gran parte della comunità di OGUsers.
Gli username protagonisti di questi furti su Instagram, Twitter e TikTok sono semplici parole, sigle, numeri o lettere, che spesso valgono decine di migliaia di dollari. Infatti, una volta che un utente attiva il suo account con un determinato username, questo diventa non disponibile per chiunque altro. Pertanto questi nomi semplici come @A, @casa, sono particolarmente desiderati, nonostante la vendita di username o di account sia illegale. Inoltre gli hacker riescono a rubare questi username con metodi che vanno a violare la privacy degli utenti, con minacce, mail phishing o scambio di SIM.
Facebook, casa madre di Instagram ha dichiarato a The Verge di aver rimosso centinaia di account di membri di OGUsers, che molestano la comunità di Instagram. L’obiettivo dell’azienda è quello di bloccare chiunque venda gli username per trarne un profitto. Di recente inoltre Instagram ha lanciato una nuova funzione chiamata Eliminati di recente, che nasce con l’intento soprattutto di proteggere i suoi utenti qualora un hacker si impadronisca del proprio account.
Alla lotta si sono uniti anche Twitter e TikTok, che hanno provveduto a rimuovere diversi account di hacker di username. Le due piattaforme hanno rilasciato una dichiarazione in merito a Brian Krebs:
Come parte del nostro lavoro per trovare e fermare account non autentici, abbiamo recentemente rivendicato una serie di nomi utente TikTok. Questi venivano utilizzati per il furto degli account. Continueremo a concentrarci per rimanere al passo con le tattiche in evoluzione degli hacker, cooperando anche con aziende di terze parti.