在注册Instagram帐户时,照片和视频共享平台保证您的电子邮件ID和生日不会对其他人可见或公开。但是,安全研究员Saugat Pokharel发现的一个漏洞使该平台易受攻击,并使攻击者可以轻松获取该私人信息。
该漏洞在被举报后已由Facebook进行了修补,但该漏洞已被允许访问Instagram正在测试的实验功能的企业帐户加以利用。
在这种情况下,攻击使用了Facebook的Business Suite工具,该功能可用于任何Facebook商业帐户。正如The Verge解释的那样,实验性升级意味着如果将Facebook企业帐户链接到Instagram并包含在测试组中,则Business Suite工具将在任何直接消息的旁边显示有关人员的其他信息。这些附加信息包括以前的私人电子邮件地址和生日详细信息。为此,企业用户所要做的就是在Instagram上向用户发送直接消息。
安全研究员Pokharel发现,该攻击对设置为私人帐户和不接受来自公众的DM的帐户起作用。如果一个帐户没有打开其DM,则用户也不会收到任何通知,表明可能已查看其个人资料。
这不是Pokharel在Instagram上发现并报告的第一个错误。早在八月,他发现Instagram实际上并没有删除已删除的帖子。
一位Facebook发言人告诉The Verge,这个新的漏洞在十月份开始实验时仅在很短的时间内就可以访问。Facebook并未提及已经为多少用户提供了该实验功能的访问权限,但他们表示这是一个“小测试”。Facebook补充说,他们还没有发现任何滥用的迹象。
这是Facebook的完整声明:
一位研究人员报告了一个问题,如果某人参与了我们在十月份针对企业帐户进行的一次小型测试,则可能泄露了他们正在通讯的人的个人信息。这个问题很快得到解决,我们没有发现滥用的迹象。通过我们的Bug赏金计划,我们奖励了这位研究人员向我们报告此问题的帮助。
根据Pokharel的说法,Facebook工程师在接到通知后的几个小时内解决了该问题。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。