Instagram hesabına kaydolurken hizmet, e-postanızın ve doğum gününüzün herkes tarafından görülemeyeceğine söz verir. Ancak güvenlik araştırmacısı Saugat Pokharel tarafından keşfedilen bir hata, bir saldırganın bu özel bilgileri kolayca alabileceğini keşfetti. Facebook’a bildirildikten sonra yamalanan hata, şirketin test ettiği deneysel bir özelliğe erişim izni verilen işletme hesapları tarafından istismar edildi.
Saldırı, Facebook’un herhangi bir Facebook işletme hesabında bulunan Business Suite aracını kullandı. Deneysel yükseltme, bir Facebook işletme hesabının Instagram ile bağlantılı olması ve test grubuna dahil edilmesi durumunda, Business Suite aracının, sözde özel e-posta adresi ve doğum günü dahil olmak üzere herhangi bir doğrudan mesajın yanında bir kişi hakkında ek bilgi göstereceği anlamına geliyordu. Tüm iş kullanıcılarının yapması gereken, bilgileri aramak için Instagram’da doğrudan bir mesaj göndermekti.
Saldırı dm’i topluma açık olmayan özel hesaplara karşı çalışıyordu
Pokharel, saldırının özel olarak ayarlanmış hesaplar ve halktan DM kabul etmeyecek şekilde ayarlanmış hesaplar üzerinde çalıştığını buldu. Bir hesap DM’leri kabul etmediyse, kullanıcı potansiyel olarak profilinin görüntülenmiş olabileceğini belirten herhangi bir bildirim almayacaktır.
Tecrübeli bir hata avcısı olan Pokharel, Instagram’ın aslında Ağustos ayında silinmiş yayınları silmediğini de keşfetti.
Bir Facebook sözcüsü, deney Ekim ayında başladığı için hataya yalnızca kısa bir süre için erişilebilir olduğunu söyledi. Şirket, bu özelliğe kaç kullanıcıya erişim verildiğini açıklamıyor, ancak bunun “küçük bir test” olduğunu ve bir araştırmada herhangi bir kötüye kullanım kanıtı bulmadığını söylüyor.
İfadenin tam metni şu şekilde belirtilmiş:
“Bir araştırmacı, Ekim ayında iş hesapları için yaptığımız küçük bir testin parçasında, mesaj gönderdiği kişinin kişisel bilgilerinin açığa çıkabileceği bir sorunu bildirdi. Bu sorun hızlı bir şekilde çözüldü ve kötüye kullanım kanıtı bulamadık. Bug Bounty Programımız aracılığıyla bu araştırmacıyı, bu konuyu bize bildirmedeki yardımlarından dolayı ödüllendirdik.”
Pokharel’e göre, Facebook mühendisleri, bildirildikten sonraki birkaç saat içinde sorunu çözdü.