//Facebug expõe dados pessoais do Instagram

Facebug expõe dados pessoais do Instagram

Um bug descoberto pelo pesquisador de segurança Saugat Pokharel, no entanto, fez com que um invasor pudesse obter facilmente essas informações privadas. O bug, que foi corrigido após ser relatado ao Facebook, era explorável por contas comerciais que tiveram acesso a um recurso experimental que a empresa estava testando.

O ataque usou a ferramenta Business Suite do Facebook, disponível para qualquer conta empresarial do Facebook. A atualização experimental significava que, se uma conta comercial do Facebook fosse vinculada ao Instagram e incluída no grupo de teste, a ferramenta Business Suite mostraria informações adicionais sobre uma pessoa ao lado de qualquer mensagem direta – incluindo seu endereço de e-mail supostamente privado e aniversário. Tudo o que os usuários empresariais precisavam fazer era enviar uma mensagem direta no Instagram para obter as informações, porém, apenas os dados das contas que foram incluídas no experimento.

Pokharel descobriu que o ataque funcionou em contas definidas como privadas e contas definidas para não aceitar DMs do público. Se uma conta não aceitar DMs, o usuário potencialmente não receberá nenhuma notificação indicando que seu perfil pode ter sido visualizado.

Um experiente caçador de bugs, Pokharel também descobriu que o Instagram não estava realmente excluindo postagens excluídas em agosto.

Em um comunicado fornecido ao The Verge , um porta-voz do Facebook disse que o bug só ficou acessível por um curto período de tempo, já que o experimento foi iniciado em outubro. A empresa não divulga quantos usuários tiveram acesso ao recurso, mas afirma que foi um “pequeno teste” e que uma investigação não encontrou evidências de abuso.

O texto completo da declaração está abaixo.

Um pesquisador relatou um problema em que, se alguém participasse de um pequeno teste que executamos em outubro para contas comerciais, as informações pessoais da pessoa com quem estava enviando mensagens poderiam ter sido reveladas. Esse problema foi resolvido rapidamente e não encontramos evidências de abuso. Por meio de nosso programa Bug Bounty, recompensamos este pesquisador por sua ajuda em relatar esse problema para nós.

De acordo com Pokharel, os engenheiros do Facebook corrigiram o problema poucas horas após serem notificados.

Fonte: The Verge – Mitchell Clark

Sou aquele que o recebe feliz em minha taverna, esteja certo de que farei o melhor para que aqui a sua experiência seja única.