---
nav_exclude: true
---
# Krađa i curenje podataka na Instagramu
**Autor:** Tvrtko Kaurinović, Antonio Zelenika
**Datum:** 5. prosinca 2022.
**Predmet:** Informacijska sigurnost i blockchain tehnologije
**Ak. god:** 2022./2023.
## Što je krađa i curenje podataka
Krađa i curenje podataka predstavlja veliki problem za kompanije u današnjici. Curenje i krađa podataka narušavaju izgled kompanije i smanjuje njezinu kredibilnost i vrijednost. Sigurnost podataka i spriječavanje krađe i curenja jedna je od glavnih stvari koje kompanije moraju osigurati svojim korisnicima.
Curenje podataka je neautorizirani prijenos podataka iz baze podataka kompanije u neku vanjsku lokaciju. Događa se radi unutarnjih grešaka te se radi toga mogu aktivno potražiti i popraviti. Krađa podataka događa se putem kibernetičkih napada iz vanjskih izvora. Kriminalci mogu koristiti razne metode da bi upali u mrežu i sistem i ukrali podatke. Razlozi za krađu podataka su prodaja tih podataka ili iskorištavanje tih podataka za krađu identiteta.
### Neki od razloga zašto se curenje podataka događa su:
- **Loša infrastruktura:** Pogrešno postavljena ili pogrešno zakrpana infrastruktura može slučajno prouzrokovati curenje podataka. Stari nezakrpani softver, pogrešne postavke sustava, pogrešno postavljanje dozvola i ostale slične stvari koje se ne čine toliko opasnima mogu izazvati curenje podataka. Svaka organizacija i kompanija bi trebala osigurati da je sva infrastruktura točno konfigurirana i da je software ažuriran.
- **Ljudska greška:** Ponekad i mala greška dovodi do curenja podataka, poput slanje emaila na krivu adresu, objavljivanje slika na kojima su osjetljivi podaci ili odabiranje krivog dokumenta prilikom slanja emaila.
- **Stari podatci:** Kako se posao širi i zaposlenici dolaze i odlaze, kompanije lako mogu zaboraviti na stare podatke. Ažuriranja sistema i infrastrukture slučajno mogu javno izložiti te podatke.
- **Loša pravila za lozinke:** Ljudi često koriste istu lozinku za većinu svojih korisničkih računa na različitim sustavima jer ju je lakše zapamtiti. No ako naša lozinka na jednom sustavu bude žrtva curenja podataka ta ista lozinka se može iskoristiti na svim ostalim sustavima kako bi se ukralo još vise podataka.
### Neki od razloga zašto se krađa podataka događa su:
- **Prevare:** Kriminalci često koriste različite načine kako bi napali sustav i ukrali podatke te nakon toga iskoristiti te podatke kako bi prouzročili još napada.
- **Radnici:** Ponekad radnici tvrtke (ili bivši radnici) imaju loše namjene.
- **Napadi na sustave:** Ako sustav ima veliki broj korisnika mora imati i visoku razinu sigurnosti zato što će biti meta napada.
### Vrste napada na sustave:
- **Phishing:** Dobilo je naziv po engleskoj riječi za pecanje (fishing) zato što radi na sličan način. Phishing je prevara koja pokušava izmamiti podatke korisnika kao što su korisničko ime, e-mail, lozinka ili neke druge privatne informacije, tako da se pretvaraju kao neki poznanik ili neka kompanija kojoj korisnik vjeruje. Najčešće se događa putem e-maila, gdje kriminalci sastave e-mail koji je jako sličan ostalim e-mailovima kompanije s kojom korisnik posluje ili koristi njezine usluge, u kojima se traži da korisnik klikne na link, preuzme neku datoteku ili upiše svoje informacije. Još jedna česta metoda phishinga je da se kreira lažna stranica koja izgleda identično stranici koju kopira (npr. lažni Instagram), zatim traži korisnika da se prijavi u sustav. Korisnik, misleći da se nalazi na Instagramu, unosi podatke za prijavu, a zapravo ih daje osobi koja ga vara. Iz tog razloga preporučuje se biti svjestan linkova na koje kliknemo.
- **Uskraćivanje usluge (Denial of Service (DoS)):** Napad kojem je cilj srušiti network ili mašinu tako da ne bude dostupna korisnicima na korištenje. Tijekom tog napada šalje se puno prometa (eng. traffic), ili slanje informacija koje uzrokuju pad sistema te na taj način uskraćuju uslugu korisnicima. Najčešći napadi su na organizacije visokog profila kao što su organizacije za web prodaju, za bankarstvo ili državne usluge. Iako DoS napadi u većini slučajeva ne prouzrokuje krađu ili gubitak podataka, svejedno mogu prouzrokovati veliku novčanu i vremensku štetu za organizacije. DoS napadi koji se događaju s više sistema odjednom na jednu metu, nazivaju se distribuirani napadi uskraćivanja usluge (eng. Distributed Denial of Service (DDoS)).
- **Tajna vrata (eng. Backdoor):** Tajna vrata je metoda zaobilaženja sigurnosnih mjera kako bi napadač dobio pristup neovlaštenim podatcima kao što su lozinke i druge osjetljive informacije. Opasnost ovih napada je što se jako teško detektiraju pošto napadač ne mora ući u sistem napadima uzastopnog pokušavanja (eng. brute force). Najčešći način ovakvih napada je instaliranje skrivenih zlonamjernih aplikacija prerušenih u normalne korisne aplikacije. Nakon zaobilaženja sigurnosnih mjera i dobivanja pristupa napadač može mjesecima špijunirati i krasti podatke neotkriven.
- **Društveno inženjerstvo (eng. Social engineering):** Društveno inženjerstvo je općeniti naziv za sve vrste zlonamjernih aktivnosti koje se događaju kroz interakciju s ljudima. Mnogi ljudi budu žrtva ovakvih napada jer ih napadači putem manipulacije natjeraju da otkriju privatne podatke. Izmamljivanje podataka je često učinjeno slanjem promocija s lažnim nagradama ili obećanjima, slanjem poruka s lažnim alarmima i prijetnjama ili već spomenuti phishing koji također spada u ove vrste napada.
- **Brute-force napad:** Brute-force napad se vrši tako da se provjerava svaka moguća kombinacija i permutacija znakova sve dok se lozinka ne pogodi. Budući da se radi o pogađanju lozinke, što je lozinka dulja, vrijeme potrebno da se lozinka otkrije pogađanjem eksponencijalno raste duljinom lozinke. Ako se radi o *online* brute-force napadu, može se spriječiti tako što se korisniku ograniči broj pokušaja za prijavu u sustav u nekom vremenskom razdoblju, CAPTCHA provjerom ili autorizacijom kroz više faktora.
## Organizacija sustava Instagram i njegovi korisnici
Instagram je trenutno četvrta najpopularnija društvena mreža sa 1.47 milijardi mjesečnih aktivnih korisnika. Kreiran je 2010. i u prva dva mjeseca rada društvena mreža je imala milijun aktivnih korisnika, a nakon jedne godine 10 milijuna aktivnih korisnika. Facebook (sada Meta Platforms) 2012. godine kupuje Instagram za milijardu američkih dolara u gotovini i dionicama. Investicija se isplatila jer je Instagram 2018. prvi put imao milijardu mjesečnih aktivnih korisnika i tada je procijenjena vrijednost Instagrama iznosila 100 milijardi američkih dolara.
Instagram daje korisnicima mogućnost uređivanja i objavljivanja slika ili kratkih videa putem weba ili mobilne aplikacije. Za svaku sliku je moguće dodati opis, lokaciju ili hashtag kako bi se objave indeksirale te bile pretražive drugim korisnicima. Svaka objava nekog računa je vidljiva korisnicima koji prate taj račun na glavnoj stranici aplikacije. Korisnici mogu dijeliti i komentirati objave drugih korisnika ili ih označiti s gumbom "sviđa mi se", te mogu slati međusobne privatne poruke ili grupne poruke. Također putem *priča* korisnici mogu objaviti slike ili videe koji će biti dostupni na pregled drugim korisnicima samo 24 sata. Korisnici Instagrama su većinom privatne osobe, no također puno javnih osoba ili poslovnih firmi također ima svoj Instagram profil putem kojeg se promoviraju i dijele sadržaj i novosti svojim korisnicima.
Instagram prihode zasniva na reklamama. Što više ljudi koristi aplikaciju, više reklama prikazuje, a što su reklame više prilagođene korisniku, veće su šanse da korisnik klikne na reklamu. Da bi korisnik dobio prilagođene reklame, Instagram mora prikupiti što više podataka kako bi mogao preporučiti, odnosno reklamirati, proizvod koji mi potencijalno zanimao korisnika.
Instagram je napopularnija platforma orijentirana na fotografije/slike. Svake minute korisnici objave preko 46000 slika na Instagram. Iako ima arhitekturu koja podržava preko milijardu korisnika, od tih milijardu korisnika gotovo nitko ne zna što prihvaća kada se registrira u aplikaciju.
## Instagramova politika privatnosti
Instagram prikuplja podatke o korisnicima radi prilagodbe reklama kako bi povisili šanse klika na reklamu koja se prikaže korisniku. Svi podaci koje Meta Platforms prikuplja od svojih korisnika opisani su u Pravilima o upotrebi podataka*, ali budući da je to dokument koji većina korisnika odluči preskočiti prilikom registracije, nije uvijek svima jasno kakve točno podatke dijelimo s Instagramom. Osim podataka za registraciju koje sami unesemo, Instagram prati korisnikovu upotrebu aplikacije, odnosno koje objave korisnik pregledava, kako koristi kameru u aplikaciji, kontakte s kojima korisnici stupaju u interakciju, te vrijeme, učestalost i trajanje korištenja aplikacije.
Osim podataka o korištenju aplikacije, Instagram prikuplja podatke o uređajima. To znači da Instagram prikuplja podatke kao što su operacijski sustav, verzije hardvera i softvera, razinu baterije uređaja, signale Bluetootha i podatke o obližnjim Wi-Fi pristupnim točkama, broj mobitela, IP adresa i još mnoge druge. Korisnik ipak ima pravo na malo privatnosti pa u postavkama može isključiti pristup GPS lokaciji, kameri i fotografijama.
Naravno, sve što Meta Platforms, a tako i Instagram, čini je za korist svojih korisnika. Tako Instagram prikupljene podatke koristi za povezivanje aktivnosti s drugim proizvodima. Npr. po interakciji sa sadržajem na Instagramu korisnik će dobiti preporučene objave ili grupe na Facebooku. Podatke koji se odnose na lokaciju (trenutna lokacija, lokacija stanovanja i mjesta na koja korisnik voli ići) koriste se za personalizaciju proizvoda, što uključuje i oglase.
Instagram također prikuplja podatke kako bi zaštitio svoje korisnike i promovirao sigurnost i integritet. Za svakog korisnika Instagram provjerava njegov račun i aktivnost te pregledava je li na ikakav način korisnik prekršio zakon njihove politike. Pri tome se misli na korisnike koji dijele lažne informacije, objavljuju slike eksplicitnog sadržaja koriste uvredljiv način komuniciranja s ostalim korisnicima ili šalju i objavljuju spam poruke i komentare s namjerom da oštete druge račune. Uz to Instagram i ostale meta platforme nude korisničku podršku koja je uvijek na raspolaganju i kojoj se korisnici mogu obratiti ako imaju problema s računom ili se ne osjećaju sigurno na platformi radi ostalih korisnika. Korisnička podrška je uvijek dostupna za osobe sa suicidalnim mislima koji trebaju nekoga za razgovor, jer je to i cilj društvenih mreža kao Instagram, da svaki korisnik može imati nekog s kim se može povezati i komunicirati. Uz to Instagram sadrži algoritme koji prepoznaju poticanje samoozljeđivanja ili samoubojstva, ali dopuštaju da korisnici međusobno razgovaraju o takvim temama na ugledan i normalan način jer žele da njihove platforme budu prostor na kojem se može raspravljati i dijeliti svoja iskustva o životu. Na žalost uvijek ima korisnika koji krše ova pravila i prijete ostalim korisnicima ili čak zaposlenicima Instagrama i Mete, no uz pomoć Instagramove politike privatnosti koja se naziva "otkloni, smanji, informiraj" sve manje je ovakvih ponašanja među korisnicima.
Uz to Instagram prikuplja i podatke za razna istraživanja. Svaki korisnik može ispunjavati ankete kao što su ankete nakon lokalnih izbora, da se zna koliko ljudi je glasalo na izborima. Također tu su ankete o potresima da bi se saznalo na kojim područjima se nedavni potres osjetio, te ankete o cijepljenju protiv virusa COVID-19.
## Mjere sigurnosti koje se provode u sustavu
Instagram sadrži brojne funkcionalnosti vezane uz zaštitu korisničkih računa. Jedan od najbitnijih i najučinkovitijih načina za zaštitu računa je *autorizacija kroz dva faktora (two factor authentication)*. Radi na način da uz normalnu lozinku na platformi, korisnik poveže dodatni e-mail račun, WhatsApp račun ili broj mobitela na koji se šalje kod s kojim potvrđuje da on pokušava pristupiti računu. Uz njega postoje i drugi, manje sigurni načini koji svejedno pomažu u zaštiti i sprječavanju krađe računa i/ili podataka. Obavijesti o sumnjivim prijavama je sistem koji tijekom svake prijave pregledava IP adresu na uređaju/mreži. Ako je lokacija te adrese drukčija nego obična lokacije prijave, tada Instagram javlja na mail korisnika da se upravo izvršila sumnjiva prijava u njegov račun, te korisnik može potvrditi je li to bio on ili nije. Instagram također preporučuje da pri kreiranju lozinke korisnici koriste najmanje 6 znakova uz korištenje posebnih znakova kao što su !&%@, te da često mijenjaju lozinke. Instagram redovno vrši automatske sigurnosne provjere te ako u njima detektira da su informacije za prijavu ukradene od strane nekih drugih web stranica, tada obavještava korisnika da promjeni lozinku i ostale informacije vezane uz prijavu. Instagramova značajka privatni profil omogućuje korisnicima da slike i informacije koje dijele na platformi budu izravno vidljive samo korisnicima koje oni odobre da ih prate na profilu. Time se korisnicima pruža dodatna sigurnost i očuvanje podataka koji bi mogli završiti u krivim rukama.
## Primjeri napada na Instagram
Instagram redovito objavljuje sigurnosna ažuriranja i donosi nove opcije s kojima korisnici mogu dodatno zaštititi svoj korisnički račun. Jedan od novijih sigurnosnih ažuriranja takozvani *Security Checkup* je dodao novu značajku *sumnjivih prijava* koja je spomenuta ranije u tekstu. Prilikom sumnjive prijave korisnik će dobiti obavijest koja će ga odvesti na sigurnosnu provjeru (eng. Security Checkup) gdje će kroz nekoliko koraka moći ponovo osigurati profil, tako da provjeri sva prijašnja logiranja i prijavljene uređaje te promjeni lozinku, korisničko ime i informacije za oporavak ako detektira ikakvu sumnjivu aktivnost. Instagram također preporučuje korisnicima da uključe opciju zahtjeva prijava (eng. Login Requests) unutar autorizacije u dva koraka, u kojoj svaki put kada se netko pokuša prijaviti s bilo kojeg drugog uređaja, glavni uređaj dobiva obavijest te može prihvatiti ili odbaciti zahtjev za prijavom.
### Instagramov sigurnosni problem
Do rujna 2019. godine Instagram je imao grešku u dizajnu sustava za prijavu koja je omogućila prikupljanje podataka brute-force napadom. Grešku je otkrio izraelski haker "ZHacker". Napad se provodio tako da je korisnik (osoba ili bot) unosio jedan po jedan broj mobitela i provjeravao postoji li račun kreiran s pojedinim brojem. Za svaki uneseni broj korisnik bi dobio odgovor da/ne, odnosno postoji li račun ili ne. U slučaju ZHackera, za 15000 zahtjeva, odnosno 15,000 unesenih brojeva, dobio bi odgovor da za 1000 postoji pripadajući korisnički račun.
Idući korak u prikupljanju podataka bio je kreirati novi korisnički račun i odabrati funkciju "Sync Contacts" za što je bilo potrebno samo znati s kojim je brojem račun povezan. Kada bi se unio broj (jedan od prije pogođenih brojeva) korisnik bi dobio puno ime, UserID i korisničko ime koje je vezano uz taj broj.
Uz dovoljno hardvera bilo bi moguće postaviti dovoljno botova da dohvaćaju milijune ime, prezime i broj mobitela od milijuna korisnika. Srećom, nakon nekoliko mjeseci, tadašnji Facebook je otklonio opasnost.
### Chtrbox
U svibnju 2019. godine dogodio se napad na bazu podataka u kojoj se nalazilo 49 milijuna zapisa. Curenje podataka se dogodilo radi nezaštićenog Amazon Web Service servera povezanog na internet. AWS baza podataka koja je probijena bila je online bez lozinke preko 72 sata. Pripadala je kompaniji Chtrbox koja se bavi s marketing alatima za utjecajne osobe (eng. influencer) na Instagramu, prema tome većina podataka koji su ukradeni pripadali su utjecajnim osobama. Nije ukraden nijedan podatak vezano uz financije, ali podatci kao e-mail, lokacija i ime i prezime su završili u rukama napadača. Nakon što je greška pronađena i Chtrbox je obaviješten, ugasili su bazu podataka. Chtrbox tvrdi da su napadači prikupili informacije od 350,000 utjecajnih osoba. Chtrbox se nije izjasnio kako su došli do podataka kao što su brojevi mobitela i email adrese.
Dvije godine ranije, u kolovozu 2017. godine, Instagram je priznao kako se u developer API nalazila sigurnosna greška koja je dovela do krađe e-mail adresa i brojeva mobitela od 6 milijuna korisnika. Sigurnosna greška je omogućila hakerima struganje podataka s ostalih Instagram profila kao što su broj mobitela i e-mail. Kasnije je objavljena stranica na kojoj su hakeri napravili bazu podataka gdje su se mogle pretraživati sve kontakt informacije izloženih profila. Fokus je bio na profile koji su imali preko milijun pratitelja, no i ostali profili su se također nalazili u toj bazi podataka za prodaju. Instagram je nakon napada obavijestio korisnike da su im podatci ukradeni. Naposljetku su svi podatci prodani za Bitcoin.
Facebook (danas Meta), u čijem vlasništvu je Instagram, je izjavio kako provjeravaju sa Chtrbox odakle su došli svi ti podatci i kako su postali javno dostupni. Uz to su smanjili broj zahtjeva koji aplikacije i developeri mogu slati na platformi kako ne bi opet došlo do greške u API.
## Posljedice na sustav i korisnike
Krađa podataka negativno utječe i na tvrtku i na korisnike. Najveći utjecaj vidi se u gubljenju povjerenja korisnika. Korisnik može doći u situaciju da ostane bez jednog ili više korisničkih računa (ako koristi istu lozinku za sve usluge). Tako može nastradati materijalno kao i emocionalno.
Društvene mreže su dominantan dio weba i zapravo glavni način komunikacije između ljudi. Većina ljudi danas posjeduje pametni mobitel i račune društvenih mreža kao što su Facebook, WhatsApp, Instagram itd. Zbog velikog broja korisnika na društvenim mrežama, te mreže su evoluirale u smislu da se danas koriste za brojne druge stvari osim običnog kontaktiranja drugih korisnika, kao što su znanstvena istraživanja putem anketa za korisnike, reklamiranje i prodavanje raznih proizvoda bilo od strane kompanija ili drugih privatnih korisnika i brojne druge. Da bi se poboljšao način reklamiranja proizvoda korisnicima društvene mreže prikupljaju brojne podatke o korisnicima kao što su stvari koje često pregledavaju i prate ili stvari o kojima pišu poruke i objave. Zbog velike količine podataka koja je dostupna o svakom profilu i svakoj osobi proboj sigurnosnih mreža često bude jako koban i ostavi velike posljedice na sustav i korisnike.
## Literatura
[1] <https://www.forbes.com/sites/zakdoffman/2019/09/12/new-instagram-hack-exclusive-facebook-confirms-user-accounts-and-phone-numbers-at-risk/>
[2] <https://techcrunch.com/2019/05/20/instagram-influencer-celebrity-accounts-scraped/>
[3] <https://www.packetlabs.net/posts/7-common-data-breaches/>
[4] <https://firewalltimes.com/instagram-data-breach-timeline/>
[5] <https://about.instagram.com/safety>
[6] <https://ieeexplore.ieee.org/abstract/document/7020612>
[7] <https://privacycenter.instagram.com/policy/version/privacy_policy_2022/>
[8] <https://www.pcmag.com/how-to/how-to-stay-safe-and-secure-on-instagram>
Google Drive
Gist
Clipboard
Sign in with Wallet
