Még áprilisban hoztak a Facebook tudtára egy olyan hibát, amivel adatokat lehetett kinyerni privát Instagram fiókokból.
A nagy tech céget általában elég szép kis összeget adnak azoknak, akik valamilyen komoly biztonsági hibát találnak egy készülékben vagy egy szoftverben. Többnyire programozók és tech guruk szoktak ilyen hibákat keresgélni hobbiszinten. Mayur Fartade biztonsági kutatónak néhány hónapja 30.000 dollár ütötte a markát, mivel az Instagram kódjaiban olyan hibára bukkant, amit kihasználva adatokat lehetett kinyerni olyan privát fiókokból, amiket a támadók nem is követnek. A Facebook azóta elkészítette a javítást és június 15-én ki is adták, így ha azóta nem frissítetted azt Instagram-ot most mindenképp ajánlatos lenne lehúzni az új verziót. Az ilyen hibákat általában titokban tartják és már csak akkor szokták nyilvánosságra hozni miután a javítás megérkezett hozzájuk. A Facebook nem siette el a dolgot, közel két hónap alatt készültek el vele.
A rés kihasználásához ugyan ismerni kell a médiatartalmakhoz társított médiaazonosítót is, de ez egy kis próbálgatással könnyen megállapítható volt – mondja Fartade. Ha egy támadónak ez sikerült, több privát információhoz is hozzá tudott jutni, például a kedvelések száma, kommentek, mentett elemek, image.uri és display url, de még a társított fiókokról is lehetett információkat szerezni.
Mint látható azért nem olyan komoly problémáról van szó, hiszen ezen adatok többségéhez szabadon hozzáférhetnek azok a felhasználók akik követik az adott személyt. Az információk nagy része pedig nem is igazán releváns, hiszen a kommentek vagy a like-ok száma nem olyan adat amit annyira féltve kellene őrizni a támadók elől. Ettől függetlenül a hibás kódok ott vannak a sorok között, aminek nem kellene így lennie, így Mayur Fartade jogosan kapta meg a 30.000 dollárt.
Érdekesség, hogy Fartade azóta már egy másik, hasonló biztonsági hibát is felfedezett, amit a Facebbok azóta már szintén javított.