Negli ultimi anni, la sicurezza delle piattaforme social è stata messa a dura prova da cybercriminali sempre più sofisticati. Un nuovo fronte di attacco vede protagonisti TikTok e Instagram: ricercatori di cybersicurezza hanno rilevato la presenza su Python Package Index (PyPI) di pacchetti software malevoli creati per sfruttare le API private di queste popolari piattaforme. L’obiettivo? Validare automaticamente liste di email rubate, così da facilitare attacchi mirati e la successiva vendita di dati nel dark web.
Come funzionano gli attacchi
I cybercriminali hanno distribuito tramite PyPI pacchetti dal nome apparentemente innocuo come “checker-SaGaF”, “steinlurks” e “sinnercore”, progettati per automatizzare il processo di verifica di email e username contro le API di TikTok e Instagram.
Automatizzazione della validazione
Questi strumenti, detti comunemente “checker”, svolgono una funzione precisa: testano indirizzi email e nomi utente precedentemente compromessi contro gli endpoint di login o di recupero password delle app social. Se la risposta dell’API conferma l’esistenza di un account associato a quell’indirizzo, il tool restituisce un esito positivo. In questo modo, i criminali ottengono liste verificate di account attivi, bersagli privilegiati per attacchi successivi come credential stuffing, phishing su misura, tentativi di accesso fraudolenti e altre forme di abuso.
Dettaglio tecnico degli strumenti
- checker-SaGaF invia richieste POST alle API di recupero password di TikTok e agli endpoint di login privati di Instagram, utilizzando intestazioni HTTP e user-agent che imitano quelli delle app ufficiali.
- steinlurks si focalizza su Instagram, variando le stringhe del browser (user-agent) e ruotando tra molteplici endpoint per sfuggire ai sistemi anti-bot e ai limiti imposti dalle API.
- sinnercore non solo verifica la validità degli account, ma può anche innescare il flusso di reset della password, molestando le vittime e ampliando la raccolta dati.
L’utilizzo di endpoint privati e la sofisticata manipolazione delle richieste permettono a questi strumenti di aggirare molte delle contromisure antispam implementate dalle piattaforme social.
Perché questa minaccia è pericolosa
Questa tecnica rappresenta un rischio significativo per la sicurezza degli utenti e delle aziende:
- Preparazione di attacchi mirati: Validando i dati, gli aggressori riducono il numero di account “falsi positivi” e ottimizzano gli attacchi successivi, come il credential stuffing (tentativi automatici di accesso con credenziali rubate) e il phishing personalizzato.
- Vendita di dati: Gli elenchi di account attivi vengono venduti nel dark web, aumentando la diffusione del rischio.
- Interruzione di servizi: Attacchi come lo spamming di richieste di reset password possono mettere fuori uso account legittimi o sovraccaricare i sistemi delle piattaforme.
Come proteggerti: consigli pratici per utenti e aziende
Per utenti privati
- Verifica la sicurezza delle tue password: Assicurati che siano lunghe, complesse e uniche per ogni servizio. Usa gestori di password per generare e conservare credenziali sicure.
- Attiva l’autenticazione a due fattori (2FA): Su TikTok, Instagram e altri servizi, il 2FA aggiunge un ulteriore livello di sicurezza che rende molto più difficile il furto di un account, anche se la password finisce nelle mani sbagliate.
- Controlla regolarmente gli accessi: Le piattaforme social permettono di visualizzare i dispositivi collegati. Se noti accessi sospetti, cambia subito la password.
- Diffida di comunicazioni sospette: Email, messaggi o SMS che richiedono di inserire credenziali, anche se appaiono legittimi, possono essere tentativi di phishing.
- Aggiorna periodicamente le password: Considera di cambiare password soprattutto dopo notizie di grandi violazioni di dati.
Per aziende e professionisti IT
- Monitoraggio dei pacchetti open source: Se sviluppi applicazioni o script che utilizzano pacchetti Python, verifica attentamente la provenienza e il codice di ogni libreria prima dell’installazione.
- Impiega sistemi di controllo del traffico API: Implementa soluzioni in grado di identificare richieste anomale e comportamenti riconducibili ad automazioni malevole (es. pattern di accesso inusuali, eccessive richieste in breve tempo).
- Segnala attività sospette ai provider: Se noti abusi sugli endpoint delle API, segnala tempestivamente le attività alle piattaforme coinvolte.
- Forma il personale: Sensibilizza collaboratori e dipendenti sulle strategie di social engineering e sulle best practice della cybersicurezza.
- Valuta soluzioni di sicurezza avanzate: Firewall per le API, sistemi di rate-limiting intelligenti e strumenti di anomaly detection possono aiutare a bloccare richieste automatizzate e tentativi di abuso.
Strategie delle piattaforme social
TikTok e Instagram, consapevoli della crescente pressione dei tentativi di abuso delle loro API, investono continuamente in sistemi di difesa. Questi includono:
- Rate limiting: Limitazione del numero di richieste per IP in un dato periodo.
- Validazione dei comportamenti: Riconoscimento di pattern sospetti tipici dei bot.
- Monitoraggio e aggiornamento continuo degli endpoint: Modifica e aggiornamento degli endpoint privati per ridurre i rischi di exploit.
- Collaborazione con la comunità open source: Segnalazione e rimozione tempestiva di pacchetti malevoli da repository pubblici come PyPI.
Nonostante queste misure, la continua evoluzione degli strumenti dei cybercriminali impone uno sforzo costante sia lato piattaforma sia lato utente.
L’uso malevolo delle API social rappresenta una minaccia concreta e moderna, alimentata dalla diffusione di strumenti open source facilmente reperibili online. Gli utenti devono restare vigili, aggiornare le proprie strategie di difesa e non sottovalutare mai l’importanza delle buone pratiche di sicurezza digitale. Allo stesso tempo, piattaforme e sviluppatori sono chiamati a una sorveglianza continua e a un rapido intervento per arginare la diffusione di tool dannosi.
La sicurezza in rete è una responsabilità condivisa: solo una collaborazione continua tra utenti, aziende e fornitori di servizi può davvero ridurre i rischi e tutelare dati e identità digitali.
Fonte: https://cybersecuritynews.com/hackers-exploit-tiktok-instagram-apis
