Facebook kodlarındaki bir açık, Instagram kullanıcılarının normal şartlarda gizli tutulan e-mail adresi ve doğum günü verilerini açığa çıkardı. Söz konusu kişisel verilere, yalnızca ilgili kullanıcıya ‘DM (Direkt Mesaj)’ gönderilmesi aracılığıyla erişilebildiği ifade edildi.
Normal şartlarda kullanıcılar, bir Instagram hesabı açtıklarında platform, hesaba ilişkin e-mail adresi ve doğum tarihi bilgisinin tüm kullanıcılarla paylaşılmayacağını garanti ediyor. Fakat güvenlik araştırmacısı Saugat Pokharel tarafından keşfedilen Facebook kodlarındaki bir açık, söz konusu verilerin doğrudan açığa çıkmasına neden oluyor. Hatanın, şirketin test ettiği bir özelliğe erişim izni verilen işletme hesapları tarafından istismar edildiği ifade ediliyor. Siber saldırının, Facebook işletme hesaplarında yer alan ‘Bussiness Suite’ aracını kullanarak gerçekleştirildiği belirtiliyor.
Test edilen özelliğin ise bir Instagram hesabına bağlı ve test grubuna dahil edilen Facebook işletme hesaplarında, ‘Bussiness Suite’ aracıyla diğer kullanıcılara ‘DM (Direkt Mesaj)’ gönderirken o kullanıcılar hakkında doğum tarihi ve e-mail adresi gibi ek verilere erişilebilmesini mümkün kılması gerekiyor. Fakat söz konusu açık nedeniyle; tüm işletme hesaplarının, kişisel verilerine erişmek istedikleri kullanıcıya ‘DM’ göndermeleri yeterli oluyor. Pokharel; siber saldırının, herkes tarafından ‘DM’ gönderilemeyen hesaplar ve gizli hesapları hedef alacak şekilde tasarlandığına işaret ediyor. Pokharel’in; Ağustos ayında, Instagram’ın silinen gönderileri aslında silmediğine ilişkin bir açığı da keşfetmiş olduğu biliniyor.
Saugat Pokharel, Facebook yazılımcılarının birkaç saat içerisinde hatayı çözdüğünü ifade etti
Diğer yandan; söz konusu hatanın açığa çıkması sonrası, Facebook’tan da konuya ilişkin bir açıklama geldi. ‘TheVerge’e konuşan bir Facebook yetkilisi; kısıtlı bir işletme hesabı kitlesinin beğenisine sunulan özelliğin Ekim ayında test edilmeye başlamış olması nedeniyle açığın, çok kısa bir süreliğine erişilebilir olduğuna işaret etti. Şirket, test süresi boyunca ne kadar kullanıcının özelliğe erişiminin olduğunu ise açıklamadı. Fakat yapılan çalışmanın, küçük bir test çalışması olduğu ve şirket tarafından yapılan soruşturmanın, istismara yönelik herhangi bir kanıt bulamadığı ifade edildi.
Facebook ayrıca, söz konusu hatanın bildirilmesinin hemen ardından giderildiğinin de altını çizdi. Özelliğin kötüye kullanıldığına dair hiçbir kanıt bulamadıklarını vurgulayan sosyal medya devi, ‘Bug Bounty’ programı kapsamında açığı bulan araştırmacıyı ödüllendirdiklerini de sözlerine ekledi. Benzer şekilde; Saugat Pokharel da Facebook yazılımcılarının, hatanın bildirilmesinden sonraki birkaç saat içerisinde açığı kaldırdığını belirtti.
Teknoloji haber bülteni DigiToll‘ü izlemek için tıklayınız.
İlginizi çekebilir:
Apple CEO’su Tim Cook, Şirketin Facebook ile Yaşadığı Gerilime İlişkin Açıklama Yaptı