„Instagram“ имаше критична грешка во процесот за враќање на пристап до профилите, која откриваше целосни е-пошта адреси и телефонски броеви на корисниците. „Meta“ брзо го отстрани проблемот, но експертите предупредуваат на ризици од фишинг напади и кражба на профили.
Критичен пропуст во веб-верзијата на системот за обновување на профили на „Instagram“ овозможил на 6 јуни да бидат прикажани целосни е-пошта адреси и телефонски броеви поврзани со кориснички профили.
Проблемот погодил и профили на познати личности, меѓу кои и Марк Закерберг, извршен директор на „Meta“, што дополнително го засилува впечатокот дека пропустот не бил ограничен само на „обични“ корисници.
Наместо стандардниот приказ на делумно сокриени податоци, како што е вообичаено (на пример m***@fb.com), системот во одредени случаи ги откривал целосните контакт информации.
Ваквиот начин на прикажување укажува дека заштитниот слој не само што „попуштил“, туку во некои ситуации бил целосно заобиколен без јасно предупредување во интерфејсот.
Како била откриена и злоупотребена грешката
Истражувачите наведуваат дека било доволно да се започне обична постапка за ресетирање лозинка за кое било корисничко име за да се добијат податоци кои вообичаено мора да останат скриени.
Тоа значи дека не биле потребни никакви специјални привилегии или пристап до системот, што го прави пропустот уште посериозен од аспект на основната безбедносна логика.
Набргу по откривањето, снимки од екранот почнале да се шират на социјалните мрежи, прикажувајќи ги целосните контакти на корисниците.
Меѓу објавените примери се нашле и профили на познати личности, вклучувајќи ја и Џорџина Родригез, што дополнително го забрзало ширењето на случајот бидејќи многумина почнале да ги проверуваат сопствените профили.
„Meta“ реагираше, но дури по протекувањето
„Meta“ во рок од неколку часа ја исправила грешката откако била пријавена, тврдејќи дека не дошло до компромитирање на системот или на базата на податоци.
Компанијата реагирала брзо на техничко ниво, но штетата во вид на веќе откриени податоци настанала пред поправката да биде применета на сите засегнати барања.
Сепак, фактот дека информациите биле видливи пред исправката значи дека податоците веќе можеле да бидат зачувани и споделени.
Тоа остава отворено прашање колку корисници всушност биле изложени во краткиот временски период пред пропустот да биде затворен, особено затоа што ваквите информации лесно можат да завршат во рацете на трети страни.
Ризиците остануваат и по исправката
Експертите предупредуваат дека дури и краткотрајното изложување на е-пошта адреси и телефонски броеви може да има долгорочни последици.
Таквите податоци се доволни за започнување фишинг кампањи, SIM swap напади и обиди за преземање на кориснички профили, особено кога се комбинираат со информации од други платформи.
Дополнителен проблем е тоа што на овој начин може да се поврзат различни е-пошта адреси со ист корисник.
Со тоа се олеснува создавањето детална дигитална слика за жртвата, што го зголемува ризикот од таргетирани напади на повеќе сервиси истовремено и им отежнува на корисниците воопшто да забележат дека се цел на напад.
„Meta“ без официјална безбедносна класификација
Иако пропустот е исправен, „Meta“ засега нема објавено CVE ознака за овој инцидент, што значи дека тој не е формално регистриран како јавно документирана безбедносна ранливост и не постои стандардизирана референца за независна анализа на случајот.
Ова отвора прашања за транспарентноста, бидејќи без официјална класификација останува нејасно како безбедносната заедница ќе го следи и анализира овој случај во поширокиот контекст на слични пропусти на големите платформи, особено доколку вакви грешки се повторат во иднина.
