تحذير … معلوماتكم الشخصية على الانستغرام مكشوفة
تطلب منصة “انستغرام” المملوكة من الملياردير الاميركي مارك زوكربيرغ حين تريدون التسجيل في الموقع، البريد الالكتروني وتاريخ الميلاد وهي معلومات يؤكد موقع انستغرام انها غير مرئية، لكن اكتشف الباحث الأمني سوجات بوخاريل خللا يمكّن من الحصول بسهولة على تلك المعلومات الشخصية.
وكان الخطأ، الذي تم تصحيحه بعد إبلاغ شركة فيسبوك، قابلاً للاستغلال من الحسابات التجارية التي تم منحها الوصول إلى الميزة التجريبية التي كانت الشركة تختبرها.
واستخدم الهجوم أداة Business Suite المتاحة لأي حساب تجاري عبر فيسبوك.
وفي حال ربط الحساب التجاري ضمن فيسبوك بالحساب ضمن إنستاجرام وتم تضمينه في مجموعة الاختبار، فإن أداة Business Suite تعرض المعلومات الإضافية عن الشخص، ومن ضمنها عنوان بريده الإلكتروني الخاص وتاريخ ميلاده.
وكل ما كان على مستخدمي الحسابات التجارية فعله هو إرسال رسالة مباشرة عبر إنستاجرام لطلب المعلومات.
ووجد بوخاريل أن الهجوم يعمل عبر الحسابات الخاصة والحسابات التي لا تقبل الرسائل المباشرة من الجمهور.
وإذا لم يقبل الحساب الرسائل المباشرة، فمن المحتمل ألا يتلقى المستخدم أي إشعار يشير إلى أنه قد تم عرض حسابه.
وقال متحدث باسم فيسبوك في بيان: لم يكن الوصول إلى الخطأ متاحًا إلا لفترة قصيرة من الوقت، حيث بدأت التجربة في شهر أكتوبر.
ولم تكشف الشركة عن عدد المستخدمين الذين تم منحهم حق الوصول إلى الميزة، لكنها تقول: إنه كان اختبارًا صغيرًا، وإن التحقيق لم يجد أي دليل على إساءة الاستخدام.
ووفقًا لبوخاريل، الذي اكتشف في شهر أغسطس أن إنستاجرام لم تكن تحذف المشاركات المحذوفة، فقد أصلح مهندسو فيسبوك المشكلة في غضون ساعات قليلة من تلقي الإشعارات.
وقالت فيسبوك: أبلغ أحد الباحثين عن مشكلة بحيث إذا كان شخص ما جزءًا من اختبار صغير أجريناه في شهر أكتوبر للحسابات التجارية، فمن الممكن أن يتم الكشف عن المعلومات الشخصية الخاصة بالشخص الذي كان يراسله.
وأضافت: تم حل هذه المشكلة بسرعة، ولم نكتشف أي دليل على إساءة الاستخدام، وقمنا من خلال برنامج Bug Bounty بمكافأة هذا الباحث على مساعدته في إبلاغنا بهذه المشكلة.