Questo hacker finlandese di primo pelo è la persona più giovane a ricevere un premio dal programma che mette in palio taglie per la ricerca di falle sulla piattaforma social di fotografia. Sebbene il ragazzo non può avere un account Instagram per altri tre anni, ha comunicato la propria scoperta a Facebook, che ha prontamente risolto il problema. La scoperta non ha richiesto l’accesso o addirittura la creazione di un account da parte di Jani, non violando così i termini e le condizioni di Instagram.
Il bambino ha 10 anni, si chiama Jani, il cui cognome non è stato divulgato per volere dei suoi genitori, ha scoperto un modo per eliminare i commenti che gli utenti di Instagram abbinano alle proprie foto pubblicate.
L’exploit esposto da Jani gli avrebbe permesso di cancellare i commenti di chiunque dichiara l’hacker “Avrei potuto cancellare i commenti di chiunque, anche quelli di Justin Bieber” alla testata finlandese Iltalehti, che ha segnalato per prima la notizia sull’exploit di Jani.
Il ragazzo spiega alla rivista finlandese che condivide la passione sul hacking con il fratello gemello, cominciata come un gioco con la programmazione di videogiochi. I due fratelli avevano già in precedenza segnalato bug di sicurezza ma questa è la prima volta che vengono ricompensati.
Facebook ha versato al giovane finlandese la ricompensa, più precisamente ai suoi genitori in conto e in nome di Jani ben $10.000. La società di Mark Zuckerberg come altre aziende del settore Hi-tech Google, Apple, premia chi segnala malfunzionamenti nei suoi siti e nelle app.
Jani ha stabilito un record nel mondo del hacking, il più giovane “cacciatore di bug” riconosciuto da Facebook, in passato il record era detenuto da un tredicenne. Con i soldi della ricompensa assegnati da Facebook il ragazzo ha intenzione di acquistare tutto ciò che un bambino della sua età sogna: attrezzatura da calcio, una nuova bicicletta, un nuovo computer per se e suo fratello.
La ricompensa ricevuta posiziona Jani nella parte alta della classifica degli hacker che Facebook ha pagato per la segnalazione di bug. Da quando la società di Zuckerberg ha lanciato tale programma nel 2011, Facebook ha versato più di 4,3 milioni di dollari a oltre 800 ricercatori.
In un'intervista la portavoce per la sicurezza di Facebook Melanie Ensign ha detto al Washington Post che la maggior parte di ricompense versate sono di modesta entità.
La taglia media versata ai ricercatori si attesta intorno ai $1780, le grosse vincite sono poche rispetto al totale delle somme versate dall’inizio del programma.
Aggiunge Ensign “Noi basiamo i nostri premi in base alla portata del rischio, piuttosto che sulla novità e falsificazione.” Il difetto che Jani ha trovato “avrebbe avuto un impatto su tutti gli utenti di Instagram”.
Come Jani ha scoperto il bug?
Non è chiaro come Jani ha scoperto tale vulnerabilità, Iltalehti riporta che Jani e suo fratello erano soliti guardare video di cyber security su YouTube da cui hanno appreso tali tecniche. Il bug consisteva in un problema con l’application program interface (API) di Instagram, sul come l’applicazione comunicava con il server.
Se infatti qualcuno vuole cancellare da Instagram una didascalia, un commento di una foto, le API dovrebbero controllare che il soggetto ha l’autorità di cancellare il commento.
“Questo processo di controllo non lavorava correttamente. Si dovrebbe essere in grado di cancellare solo i commenti effettuati” ha detto Ensign.
Jani dopo aver segnalato il problema alla società di Zuckerberg la stessa azienda ha provveduto a creare un account prova su Instagram, pubblicando una foto con commento, l'hacker ha poi attaccato sotto autorizzazione di Facebook, è andato a cancellare il commento, provando l’esistenza dell’exploit.