اكتشف الباحث الأمني (سوجات بوخاريل) Saugat Pokharel، أنه بالإمكان الحصول بسهولة على المعلومات الشخصية لمستخدمي انستجرام على الرغم من أن منصة إنستاجرام، تعد بأن المعلومات الشخصية التي يتم إدخالها عند التسجيل، مثل: بريدك الإلكتروني وتاريخ ميلادك، لن تكون مرئية للجمهور.
وكان الخطأ، الذي تم تصحيحه بعد إبلاغ شركة فيسبوك، قابلاً للاستغلال من الحسابات التجارية التي تم منحها الوصول إلى الميزة التجريبية التي كانت الشركة تختبرها.
واستخدم الهجوم أداة Business Suite المتاحة لأي حساب تجاري عبر فيسبوك، وفي حال ربط الحساب التجاري ضمن فيسبوك بالحساب ضمن إنستاجرام وتم تضمينه في مجموعة الاختبار، فإن أداة Business Suite تعرض المعلومات الإضافية عن الشخص، ومن ضمنها عنوان بريده الإلكتروني الخاص وتاريخ ميلاده.
وكل ما كان على مستخدمي الحسابات التجارية فعله هو إرسال رسالة مباشرة عبر إنستجرام لطلب المعلومات.
ووجد بوخاريل أن الهجوم يعمل عبر الحسابات الخاصة والحسابات التي لا تقبل الرسائل المباشرة من الجمهور.
وإذا لم يقبل الحساب الرسائل المباشرة، فمن المحتمل ألا يتلقى المستخدم أي إشعار يشير إلى أنه قد تم عرض حسابه.
وقال متحدث باسم فيسبوك في بيان: لم يكن الوصول إلى الخطأ متاحًا إلا لفترة قصيرة من الوقت، حيث بدأت التجربة في شهر أكتوبر.
ولم تكشف الشركة عن عدد المستخدمين الذين تم منحهم حق الوصول إلى الميزة، لكنها تقول: إنه كان اختبارًا صغيرًا، وإن التحقيق لم يجد أي دليل على إساءة الاستخدام.
ووفقًا لبوخاريل، الذي اكتشف في شهر أغسطس أن إنستجرام لم تكن تحذف المشاركات المحذوفة، فقد أصلح مهندسو فيسبوك المشكلة في غضون ساعات قليلة من تلقي الإشعارات.
وقالت فيسبوك: أبلغ أحد الباحثين عن مشكلة بحيث إذا كان شخص ما جزءًا من اختبار صغير أجريناه في شهر أكتوبر للحسابات التجارية، فمن الممكن أن يتم الكشف عن المعلومات الشخصية الخاصة بالشخص الذي كان يراسله.
وأضافت: تم حل هذه المشكلة بسرعة، ولم نكتشف أي دليل على إساءة الاستخدام، وقمنا من خلال برنامج Bug Bounty بمكافأة هذا الباحث على مساعدته في إبلاغنا بهذه المشكلة.