اطلاعات کاربران اینستاگرام برای مدت کوتاهی در خطر بوده است

شما وقتی قصد دارید که وارد حساب کاربری خود در اینستاگرام شوید، یک تاییدیه تضمین می‌دهد که ایمیل و تاریخ تولدتان فاش نخواهد شد و به طور عمومی قابل مشاهده نخواهد بود. ظاهراً برای مدت کوتاهی این شرایط تضمین نشده است.

 اخیراً یک باگ نرم‌افزاری توسط یک محقق حوزه امنیت سیستم‌های کامپیوتری یعنی ساگات پوخارل (Saugat Pohkarel) کشف شده است که نشان می‌دهد این اطلاعات به راحتی قابل دسترسی هستند. این باگ که اکنون پس از گزارش به فیس‌بوک رفع شده، در حساب‌های تجاری این شبکه‌اجتماعی پدید می‌آمد و سبب ایجاد دسترسی به ویژگی‌هایی می‌شد که شرکت یادشده در حال کار روی آن‌ها است. محقق یادشده با استفاده از یک حمله آزمایشی توانسته است اطلاعات جالبی را به دست آورد.

در این حمله که منجر به یافت مشکل مذکور شد، از ابزار بیزینس سوت تول (Business Suit Tool) شرکت فیس‌بوک استفاده شده و شاید لازم به ذکر باشد که این ابزار در تمام حساب‌های تجاری این شرکت در دسترس است.

طی این حمله آزمایشی مشخص شد که که اگر یک حساب تجاری فیس‌بوک به اینستاگرام متصل می‌شده و آن حساب در برنامه‌های آزمایشی توسعه‌دهندگان قرار می‌گرفته، بیزینس تول سوت می‌توانسته است علاوه بر نمایش مشخصات شخص و تمام پیام‌های خصوصی او، ایمیل و اطلاعات محرمانه نظیر تاریخ تولد و نشانی محل سکونت را هم فاش کند. بنابراین تنها مولفه موردنیاز برای سرفت داده‌های شخصی، ارسال یک پیام خصوصی به حساب اینستاگرام شخص بوده است.

«پوخارل» طی تحقیقات خود متوجه شد که این حمله هم روی حساب‌های پرایوت و هم برای حساب‌هایی که اجازه دریافت پیام خصوصی را مسدود کرده‌اند، کارساز بوده است. در واقع اگر یک حساب اجازه نمی‌داده که پیام خصوصی به کاربر ارسال شود، فرد حمله‌کننده قادر بوده تا بدون فهمیدن شخص، اطلاعات شخصی او را مشاهده کند.

پوخارل به عنوان یک باگ‌یاب باسابقه، پیش‌تر در ماه آگوست هم متوجه شده بود که اینستاگرام پست‌های پاک‌شده را واقعاً حذف نمی‌کند.

طی یک بیانیه که از سوی فیس‌بوک برای وب‌سایت The Verge ارسال شده، اشاره شده که این باگ تنها برای مدت کوتاهی در دسترس عموم بوده زیرا مواردی که شرکت به طورتجربی روی آن‌ها مشغول بوده، تنها از ماه اکتبر شروع شده است.

این شرکت فاش نمی‌کند که چه تعداد از کاربرانش به ویژگی مذکور دسترسی داشته‌اند اما خاطر نشان می‌کند که هیچ مدرکی دال بر سو استفاده پیدا نکرده است.

این متن کامل بیانیه‌ای است که از سوی فیس‌بوک برای وب‌سایت مذکور فرستاده شده است:

یک محقق مشکلی را گزارش کرده که طی آن اگر کسی در ماه اکتبر جزو آزمایش کوچک ما در حساب‌های تجاری قرار می‌گرفته، ممکن بوده اطلاعات محرمانه‌اش برای کاربری که با او چت می‌کرده است، فاش شود. این مشکل سریعاً حل شده است و ما هیچ مدرکی مبنی بر سو استفاده‌های احتمالی یافت نکرده‌ایم. طبق برنامه ما مبنی بر پاداش به گزارش‌های اینچنینی، محقق موردنظر به دلیل کمکش در گزارش مشکل مربوطه به شرکت ما، پاداشش را دریافت کرد.

طبق گفته‌های پوخارل، مهندسان این شرکت تنها چند ساعت پس از ارائه این گزارش، مشکل را رفع کرده‌اند.