عند التسجيل للحصول على حساب ضمن منصة إنستاجرام، تَعِد الخدمة بأن المعلومات الشخصية، مثل: بريدك الإلكتروني وتاريخ ميلادك، لن تكون مرئية للجمهور.
ومع ذلك، فإن الخلل الذي اكتشفه الباحث الأمني (سوجات بوخاريل) Saugat Pokharel جعله يتمكن من الحصول بسهولة على تلك المعلومات الشخصية.
وكان الخطأ، الذي تم تصحيحه بعد إبلاغ شركة فيسبوك، قابلاً للاستغلال من الحسابات التجارية التي تم منحها الوصول إلى الميزة التجريبية التي كانت الشركة تختبرها.
واستخدم الهجوم أداة Business Suite المتاحة لأي حساب تجاري عبر فيسبوك.
وفي حال ربط الحساب التجاري ضمن فيسبوك بالحساب ضمن إنستاجرام وتضمينه في مجموعة الاختبار، فإن أداة Business Suite تعرض المعلومات الإضافية عن الشخص، ومن ضمنها عنوان بريده الإلكتروني الخاص وتاريخ ميلاده.
وكل ما كان على مستخدمي الحسابات التجارية فعله هو إرسال رسالة مباشرة عبر إنستاجرام لطلب المعلومات.
ووجد بوخاريل أن الهجوم يعمل عبر الحسابات الخاصة والحسابات التي لا تقبل الرسائل المباشرة من الجمهور.
وإذا لم يقبل الحساب الرسائل المباشرة، فمن المحتمل ألا يتلقى المستخدم أي إشعار يشير إلى أنه قد تم عرض حسابه.
وقال متحدث باسم فيسبوك في بيان: لم يكن الوصول إلى الخطأ متاحًا إلا لفترة قصيرة من الوقت، حيث بدأت التجربة في شهر أكتوبر.
ولم تكشف الشركة عن عدد المستخدمين الذين مُنحوا حق الوصول إلى الميزة، لكنها تقول: إنه كان اختبارًا صغيرًا، وإن التحقيق لم يجد أي دليل على إساءة الاستخدام.
ووفقًا لبوخاريل، الذي اكتشف في شهر أغسطس أن إنستاجرام لم تكن تحذف المشاركات المحذوفة، فقد أصلح مهندسو فيسبوك المشكلة في غضون ساعات قليلة من تلقي الإشعارات.
وقالت فيسبوك: أبلغ أحد الباحثين عن مشكلة، بحيث إذا كان شخص ما جزءًا من اختبار صغير أجريناه في شهر أكتوبر للحسابات التجارية، فمن الممكن أن يتم الكشف عن المعلومات الشخصية الخاصة بالشخص الذي كان يراسله.
وأضافت: تم حل هذه المشكلة بسرعة، ولم نكتشف أي دليل على إساءة الاستخدام، وقمنا من خلال برنامج Bug Bounty بمكافأة هذا الباحث على مساعدته في إبلاغنا بهذه المشكلة.