Κατά την εγγραφή σε λογαριασμό Instagram, η υπηρεσία υπόσχεται ότι το email και τα γενέθλιά σας δεν θα είναι ορατά δημόσια. Ένα σφάλμα που ανακαλύφθηκε από τον ερευνητή ασφαλείας Saugat Pokharel, ωστόσο, το έκανε έτσι ώστε ένας εισβολέας να μπορεί εύκολα να πάρει αυτές τις προσωπικές πληροφορίες. Το σφάλμα, το οποίο επιδιορθώθηκε αφού αναφέρθηκε στο Facebook, ήταν εκμεταλλεύσιμο από επαγγελματικούς λογαριασμούς στους οποίους δόθηκε πρόσβαση σε μια πειραματική λειτουργία που δοκιμάζει η εταιρεία.
Η ΕΠΙΘΕΣΗ ΛΕΙΤΟΥΡΓΕΙ ΣΕ ΙΔΙΩΤΙΚΟΥ ΛΟΓΑΡΙΑΣΜΟΥΣ ΚΑΙ ΠΟΥ ΔΕΝ ΕΧΟΥΝ ΔΗΜΟΣΙΑ DMS
Η επίθεση – χακάρισμα χρησιμοποίησε το εργαλείο Business Suite του Facebook, διαθέσιμο σε οποιονδήποτε επιχειρηματικό λογαριασμό στο Facebook. Η πειραματική αναβάθμιση σήμαινε ότι εάν ένας επαγγελματικός λογαριασμός Facebook ήταν συνδεδεμένος με το Instagram και συμπεριλαμβανόταν στην ομάδα δοκιμών, το εργαλείο Business Suite θα εμφανίζει επιπλέον πληροφορίες για ένα άτομο μαζί με οποιοδήποτε άμεσο μήνυμα – συμπεριλαμβανομένης της υποτιθέμενης ιδιωτικής διεύθυνσης ηλεκτρονικού ταχυδρομείου και των γενεθλίων του. Το μόνο που έπρεπε να κάνουν οι επιχειρηματικοί χρήστες ήταν να στείλουν ένα άμεσο μήνυμα στο Instagram για να καλέσουν τις πληροφορίες.
Ο Pokharel διαπίστωσε ότι η επίθεση λειτουργούσε σε λογαριασμούς που είχαν οριστεί σε ιδιωτικούς και σε λογαριασμούς που είχαν οριστεί να μην δέχονται DM από το κοινό. Εάν ένας λογαριασμός δεν δέχτηκε DM, ο χρήστης πιθανώς δεν θα λάβει καμία ειδοποίηση που να δείχνει ότι το προφίλ του μπορεί να έχει προβληθεί.
Ένας έμπειρος κυνηγός σφαλμάτων, ο Pokharel ανακάλυψε επίσης ότι το Instagram δεν διέγραψε τις διαγραμμένες δημοσιεύσεις τον Αύγουστο
Σε μια δήλωση που δόθηκε στο The Verge, ένας εκπρόσωπος του Facebook είπε ότι το σφάλμα ήταν προσβάσιμο μόνο για μικρό χρονικό διάστημα, καθώς το πείραμα ξεκίνησε τον Οκτώβριο. Η εταιρεία δεν αποκαλύπτει πόσους χρήστες είχαν πρόσβαση στη λειτουργία, αλλά λέει ότι ήταν μια «μικρή δοκιμή» και ότι μια έρευνα δεν βρήκε κανένα στοιχείο κατάχρησης.
