При регистрацијата на Instagram, услугата ветува дека личните податоци на корисниците, како што се мејл адресите и родендените, нема да бидат јавно достапни. Сепак, откриена е грешка што на напаѓачите им овозможува лесен пристап до овие приватни информации. Грешката овозможи преку деловни сметки, на кои им беше даден пристап до експериментални функции заради тестирање, да се откријат и преземат споменатите информации.
Нападот можел да се спроведе преку Facebook Business Suite алатката, што му е достапна на секој што има бизнис сметка. Експерименталната надградба овозможува, доколку вашата деловна сметка на Facebook е поврзана со Instagram, да прикаже дополнителни информации за луѓето, кои ги вклучуваат и приватните мејл адреси и датумите на раѓање. Сè што треба да направи еден корисник за да им пристапи е да испрати директна порака до Instagram профилот на корисникот. Истражувањето покажа дека на овој начин можат да се добијат информации и од профилите што се поставени како приватни.
Во официјалното соопштение на Facebook за ова прашање беше објавено дека грешката била активна само за краток временски период, со оглед на тоа што експериментот бил започнат во октомври. Компанијата не објави колку корисници имале пристап до таа функција, но истакнаа дека станува збор за „мал тест“, како и дека истрагата утврдила дека грешката не е експлоатирана. Истражувачот кој ја открил грешката бил награден преку Facebook Bug Bounty програмата, а грешката била исправена во рок од неколку часа по пријавувањето.
Поврзани артикли