Tramite un bug della piattaforma Instagram è possibile accedere alle informazioni personali degli utenti semplicemente utilizzando uno strumento messo a disposizione dallo stesso social.
In concomitanza con Facebook, che si dedica ad una nuova misura sul trattamento dei dati degli utenti possessori di iPhone, il ricercatore in ambito cybersecurity Saugat Pokharel ha scoperto un grave bug che permetterebbe ai malintenzionati di ottenere facilmente informazioni private sensibili di Instagram proprio tramite Facebook.
Attraverso un bug della piattaforma business di Facebook è possibile accedere alle informazioni personali degli utenti di Instagram semplicemente utilizzando uno strumento messo a disposizione dallo stesso social. Criptico e per niente utile.
In cosa consiste il bug
Questa falla di sicurezza permette di utilizzare la Business Suite di Facebook, introdotta a metà settembre e creata per unire le chat di WhatsApp, Instagram e Messenger in una sola app per commercianti, per accedere a tali dati sensibili.
Se un account aziendale di Facebook è collegato a Instagram, la Business Suite mostra tutti i messaggi privati, l’indirizzo e-mail privato collegato al profilo e la data di compleanno, anche nel caso di account impostati come privati o che non accettano messaggi da altri utenti.
L’attacco utilizza gli strumenti business messi a disposizione dall’azienda di Menlo Park per la gestione degli account Facebook e Instagram e, in particolare, quelli appartenenti alle versioni sperimentali di questi strumenti.
I dati vengono visualizzati quando gli utenti inviano un messaggio privato su Instagram a una pagina business (o viceversa) con attivi gli strumenti sperimentali: quando succede, accanto al messaggio vengono visualizzate alcune informazioni sull’utente, ma non dovrebbero essere mostrati dettagli personali come email e data di nascita.
Leggi Anche:
- Come rimuovere le nostre foto pubblicate da altri sui social
- Facebook nei guai: il governo USA e altri 48 stati gli fanno causa per condotta predatoria
Fortunatamente, un portavoce di Facebook ha spiegato a The Verge che questo bug è rimasto nell’app solamente per un breve periodo di tempo e che è già stato risolto dal social network. Inoltre, un’indagine interna non avrebbe rilevato prove riguardanti il possibile abuso di tale falla.
Come dichiara “Un ricercatore ha segnalato un problema in cui, se qualcuno faceva parte di un piccolo test che abbiamo eseguito a ottobre per account aziendali, le informazioni personali della persona a cui stavano inviando messaggi avrebbero potuto essere rivelate. Questo problema è stato risolto rapidamente e non abbiamo rilevato alcuna prova di abuso. Attraverso il nostro programma Bug Bounty abbiamo premiato questo ricercatore per il suo aiuto nel segnalarci questo problema.”
Secondo Pokharel, l’attacco funzionava sia su chi aveva impostato l’account come privato sia su chi non accettava DM da chiunque. Anzi, in quest’ultimo caso l’utente non riceveva nemmeno una notifica per avvisarlo del contatto dalla pagina business. Totalmente all’oscuro.
Intanto, la società di Mark Zuckerberg è anche alle prese con una causa antitrust intentata dalla Federal Trade Commission statunitense che potrebbe portare persino alla cessione di WhatsApp e Instagram.
Questo bug arriva in un periodo dove i social network sembrano esser presi di mira.
Dal down di Google e Whatsapp, al bug sulla privacy che ha dapprima colpito Facebook e ora Instagram. Come se i social ci avvisassero di non essere la fonte sicura che crediamo.
