Při registraci na Instagramu si lze nastavit, že váš e-mail a datum narození nebude vidět veřejně. Zranitelnost Facebooku ale toto nastavení ignorovala. Chybu však naštěstí s největší pravděpodobností nestihl nikdo zneužít.

Chybu objevil bezpečnostní odborník Saugat Pokharel a firmu na ni upozornil. Zranitelnost způsobila, že jakýkoliv uživatel, který využíval Facebook Business Suite – nástroj dostupný pro každou firmu, která má Facebook – mohl při odeslání zprávy na Instagram zobrazit osobní informace včetně zmíněného e-mailu a data narození.

Zranitelnost se objevila v rámci experimentální aktualizace, k níž má přístup jen omezené množství společností; pravděpodobnost, že došlo k ohrožení informací uživatelů je vzhledem k limitovanému množství subjektů a rychlé opravě chyby velmi nízká.

Ukazuje však na to, že pokračující integrace Facebooku a Instagramu má své mezery. Pokud regulátoři nedonutí Facebook firmy oddělit, na bezpečnosti bude muset sociální gigant aktivně pracovat.

Potenciální útok fungoval i na účty, které byly nastaveny jako soukromé a překvapivě i na ty, které nepřijímají soukromé zprávy od uživatelů mimo seznam kontaktů.

Facebook chybu opravil jen několik hodin poté, co na ni Pokharel upozornil – zároveň byl zřejmě první, kdo ji našel. Za nalezení a oznámení zranitelnosti obdržel white-hat hacker finanční odměnu v neznámé výši.

Zdroj: Verge