Instagram šokirao korisnike greškom! Isplivali brojevi telefona i mejlovi!
Dodajte Kurir u vaš Google izborKritična greška u veb verziji Instagram sistema za oporavak naloga omogućila je da se 6. juna prikažu puni imejlovi i brojevi telefona povezani sa korisničkim profilima. Problem je pogodio i naloge poznatih osoba, među kojima je bio i Mark Zakerberg, izvršni direktor Mete, što dodatno pojačava utisak da propust nije bio ograničen na „obične“ naloge.
Umesto standardnog prikaza delimično sakrivenih podataka, kao što je uobičajeno (na primer m***@fb.com), sistem je u određenim slučajevima otkrivao kompletne kontakt informacije. Takav način prikaza ukazuje da zaštitni sloj nije samo „popustio“, već je u nekim situacijama potpuno preskočen bez jasnog upozorenja u interfejsu.
Kako je greška otkrivena i zloupotrebljena
Istraživači navode da je bilo dovoljno pokrenuti običan postupak resetovanja lozinke za bilo koje korisničko ime kako bi se dobili podaci koji bi inače morali da ostanu skriveni. To znači da nije bila potrebna nikakva specijalna privilegija ili pristup sistemu, što čini propust još ozbiljnijim iz ugla osnovne bezbednosne logike.
Ubrzo nakon otkrića, snimci ekrana počeli su da se šire društvenim mrežama, pokazujući pune kontakte korisnika. Među objavljenim primerima našli su se i nalozi poznatih ličnosti, uključujući i Džordžinu Rodrigez, što je dodatno ubrzalo širenje slučaja jer su ljudi počeli da proveravaju sopstvene naloge.
Meta reagovala, ali tek nakon curenja
Meta je u roku od nekoliko sati ispravila grešku nakon što je prijavljena, uz tvrdnju da nije došlo do kompromitovanja sistema niti baze podataka. Kompanija je reagovala brzo na tehničkom nivou, ali je šteta u vidu već viđenih podataka nastala pre nego što je zakrpa stigla do svih zahvaćenih zahteva.
Ipak, činjenica da su informacije bile vidljive pre ispravke znači da su podaci već mogli biti sačuvani i deljeni. To ostavlja otvoreno pitanje koliko je korisnika zapravo bilo izloženo u kratkom vremenskom prozoru pre nego što je propust zatvoren, posebno jer takvi podaci mogu odmah završiti u rukama trećih strana.
Rizici koji ostaju i nakon ispravke
Stručnjaci upozoravaju da čak i kratkotrajno izlaganje imejl adresa i brojeva telefona može imati dugoročne posledice. Takvi podaci su dovoljni za pokretanje fišing kampanja, SIM swap napada i pokušaja preuzimanja naloga, naročito kada se kombinuju sa informacijama sa drugih platformi.
Dodatni problem je to što se na ovaj način mogu povezati različite imejl adrese sa istim korisnikom. Time se olakšava kreiranje detaljne digitalne slike žrtve, što povećava rizik od ciljanih napada na više servisa istovremeno i otežava korisnicima da uopšte primete da su meta.
Meta bez zvanične bezbednosne klasifikacije
Iako je propust ispravljen, Meta za sada nije objavila CVE oznaku za ovaj incident, što znači da nije formalno registrovan kao javno dokumentovana bezbednosna ranjivost i da ne postoji standardizovana referenca za nezavisnu analizu slučaja.
To ostavlja otvoreno pitanje transparentnosti, jer bez zvanične klasifikacije ostaje nejasno kako će bezbednosna zajednica pratiti i analizirati ovaj slučaj u širem kontekstu sličnih propusta na velikim platformama, posebno ako se slične greške ponove u budućnosti.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.