Instagram’da e-posta adresleri ve doğum günlerini gösteren hata

Instagram hesabına kaydolurken hizmet, e-postanızın ve doğum gününüzün herkes tarafından görülemeyeceğine söz verir. Ancak güvenlik araştırmacısı Saugat Pokharel tarafından keşfedilen bir hata, bir saldırganın bu özel bilgileri kolayca alabilmesini sağladı. Facebook’a bildirildikten sonra yamalanarak giderilen hata, şirketin test ettiği deneysel bir özelliğe erişim izni verilen işletme hesapları tarafından istismar edildi.

Saldırı, Facebook’un herhangi bir Facebook işletme hesabında bulunan Business Suite aracını kullandı. Deneysel yükseltme, bir Facebook işletme hesabının Instagram ile bağlantılı olması ve test grubuna dahil edilmesi durumunda, Business Suite aracının, özel e-posta adresi ve doğum günü dahil olmak üzere herhangi bir doğrudan mesajın yanında bir kişi hakkında ek bilgi göstereceği anlamına geliyordu. Tüm iş kullanıcılarının yapması gereken, bilgileri aramak için Instagram’da doğrudan bir mesaj göndermekti.

Pokharel, saldırının özel olarak ayarlanmış hesaplar ve halka açık olarak DM kabul etmeyecek şekilde ayarlanmış hesaplar üzerinde çalıştığını buldu. Bir hesap DM’leri kabul etmediyse, kullanıcı potansiyel olarak profilinin görüntülenmiş olabileceğini belirten herhangi bir bildirim almayacaktır. Tecrübeli bir hata avcısı olan Pokharel, Instagram’ın aslında Ağustos ayında silinmiş yayınları silmediğini de keşfetti.

Bir Facebook sözcüsü yaptığı açıklamada, deney Ekim ayında başladığı için hataya yalnızca kısa bir süre için erişilebilir olduğunu söyledi. Şirket, bu özelliğe kaç kullanıcıya erişim verildiğini açıklamıyor, ancak bunun “küçük bir test” olduğunu ve bir araştırmada herhangi bir kötüye kullanım kanıtı bulmadığını söylüyor. Pokharel’e göre, Facebook mühendisleri, bildirildikten sonraki birkaç saat içinde sorunu çözdü.