de los usuarios de Instagram
Al registrarse para obtener una cuenta de Instagram, el servicio promete que su correo electrónico y cumpleaños no serán visibles públicamente. Sin embargo, un error descubierto por el investigador de seguridad Saugat Pokharel hizo que un atacante pudiera obtener fácilmente esa información privada. El error, que se corrigió después de ser informado a Facebook, fue explotado por cuentas comerciales a las que se les dio acceso a una función experimental que la compañía estaba probando.
El ataque utilizó la herramienta Business Suite de Facebook, disponible para cualquier cuenta comercial de Facebook. La actualización experimental significó que si una cuenta comercial de Facebook estaba vinculada a Instagram y se incluía en el grupo de prueba, la herramienta Business Suite mostraría información adicional sobre una persona junto con cualquier mensaje directo, incluida su dirección de correo electrónico supuestamente privada y cumpleaños. Todo lo que los usuarios comerciales tenían que hacer era enviar un mensaje directo en Instagram para acceder a la información.
Pokharel descubrió que el ataque funcionó en cuentas configuradas como privadas y cuentas configuradas para no aceptar mensajes directos del público. Si una cuenta no aceptaba mensajes directos, el usuario posiblemente no recibiría ninguna notificación que indicara que se pudo haber visto su perfil.
Pokharel, un cazador de errores experimentado, también descubrió que Instagram no estaba eliminando las publicaciones eliminadas en agosto.
En una declaración proporcionada a The Verge , un portavoz de Facebook dijo que el error solo fue accesible durante un corto período de tiempo, ya que el experimento se inició en octubre. La compañía no revela cuántos usuarios tuvieron acceso a la función, pero dice que fue una "pequeña prueba" y que una investigación no encontró evidencia de abuso.
El texto completo de la declaración se encuentra a continuación.
Un investigador informó un problema en el que, si alguien formaba parte de una pequeña prueba que realizamos en octubre para cuentas comerciales, se podría haber revelado información personal de la persona a la que estaban enviando mensajes. Este problema se resolvió rápidamente y no descubrimos ninguna evidencia de abuso. A través de nuestro programa Bug Bounty, recompensamos a este investigador por su ayuda al informarnos sobre este problema.
Según Pokharel, los ingenieros de Facebook solucionaron el problema pocas horas después de recibir la notificación.
Actualización 18 de diciembre a las 6:20 p.m. ET: se aclaró un punto en el segundo párrafo de que solo las cuentas que se incluyeron en el experimento tenían acceso a la información.