Come per Facebook, anche per la controllata Instagram le cose non sembrano affatto andare bene, con la piattaforma per il photo-sharing che, pur popolarissima e molto utilizzata, sconta il pericoloso calo nel coinvolgimento da parte degli influencer (per i quali, forse, si chiude un’epoca), oltre alla scoperta di un bug che, potenzialmente, esponeva gli account personali all’altrui controllo.
Di recente, il portale Mobile Marketer ha condotto un’indagine analizzando i dati raccolti dalle metriche di InfluencerDB a proposito dell’andamento delle bacheche degli influencer, attenzionate nel corso degli ultimi 3 anni: secondo quanto emerso dalla ricerca, pare che il coinvolgimento delle stesse sia crollato, sia nel caso dei post sponsorizzati, comunque ancora più ascoltati di quelli normali, che nel caso dei contributi spontanei.
Nella prima fattispecie, il tasso di coinvolgimento, riscontrato per tutte le principali aree (beauty, fitness, food, fashion, lifestyle, sport, viaggi) in base al numero di like rilasciati dalla base dei follower dei singoli profili, è sceso dal 4 al 2.4%, mentre – nel secondo – si è precipitati, letteralmente, dal 4.5 all’1.9%: il motivo di questo trend, spiegano gli esperti, starebbe nel fatto che le bacheche, location in cui si susseguono video, foto, e Storie, non catturano più l’attenzione degli utenti, in quanto troppo saturate di contenuti sponsorizzati.
Anche in termini di bug, le cose non vanno meglio. È stato ufficialmente risolto, ma non si sa quanti utenti potrebbe aver coinvolto, il pericoloso bug scoperto e segnalato dal ricercatore indiano Laxman Muthiyah (@LaxmanMuthiyah), il quale si è accorto di quanto fosse facile impadronirsi di un altrui account avviando la procedura di rigenerazione delle password dimenticate, in base a due sole informazioni in proprio possesso: il nome dell’account ed il numero di telefono della vittima, necessario per ricevere via SMS un codice temporaneo di 6 cifre.
Nello specifico, Muthiyah ha calcolato che il milione di combinazioni possibili, da 000000 a 999999 poteva essere risolto in poco tempo mettendo assieme 1.000 macchine elaborative, capaci – in una manciata di minuti – di generare circa 200 codici alfanumerici, per il 20% delle combinazioni possibili. Ciò non sempre bastava, anche perché dopo 10 minuti il codice SMS inviato e da indovinare viene invalidato: tuttavia, portando a 5.000 la rete dei computer al proprio servizio (noleggiabili per appena 200 dollari grazie ai cloud service di Google, Amazon o Microsoft), la totalità delle possibili combinazioni era coperta in modo istantaneo, portando il conseguente attacco brute force al sicuro successo.
Per fortuna, il problema – debitamente segnalato a Menlo Park – è stato, come da conferma, sanato la scorsa settimana, con il giovane programmatore e ricercatore di sicurezza che, per l’occasione, è stato premiato, nell’ambito del bug bounty programm di Instagram (“Bugcrowd”), con un assegno di 30 mila dollari.