Bezpečnostnému výskumníkovi sa podarilo objaviť dieru v Instagrame. Našiel spôsob ako získať prístup k akémukoľvek účtu na Instagrame.
Wesley Wineberg, pracovník bezpečnostnej firmy Synack, sa zapojil do bug bounty programu, ktorý vyhlásil Facebook. Program dáva odmeny za nájdenie bezpečnostných chýb v službách Facebooku, medzi ktoré patrí už aj Instagram.
Bezpečnostný analytik dostal tip od spolupracovníka, kde hľadať. Podarilo sa mu nájsť softvér, ktorý spúšťa administrátorský panel Sensu-Admin. Predchádzajúci výskum ukázal, že tento program môže byť náchylný k útoku, ktorý umožňuje útočníkovi spúšťať príkazy na napadnutom zariadení.
Wesley úspešne crackol službu a získal tak prístup ku konfiguračným súborom, ktoré obsahovali údaje k databáze. Našiel v nej 60 účtov, ktoré patrili zamestnancom Instagramu a Facebooku.
Neskôr sa mu podarilo získať heslá k týmto účtom, keďže boli príliš slabé. Napríklad: changeme, instagram, password. Pomocou týchto hesiel sa dostal do administrátorskej časti Instagramu. Takto mal prístup k všetkým údajom Instagramu vrátane hesiel a fotiek.
Ďalej však nepokračoval, aby neporušil podmienky programu, ktoré nedovoľujú akokoľvek ohroziť službu. Svoj nález oznámil bezpečnostným zamestnancom Facebooku.
Wesley celkovo oznámil tri chyby, odmenu 2 500 dolárov mu však vyplatili len za prvú.
Odmenu za zvyšné dve chyby mu Facebook odmietol vyplatiť. Prihlásenie pod používateľskými menami, ktoré získal, Facebook považuje za neautorizované a neetické napadnutie používateľov.
Facebook ďalej vyhlásil, že pri ohlasovaní chýb musí existovať dôvera a nájdené nedostatky sa nesmú zneužívať na prístup k súkromným informáciám používateľov.
Toto nebol prvý Wesleyho úspech. Už začiatkom roku získal odmenu 24-tisíc dolárov za odhalenie bezpečnostnej chyby v službe live.com od Microsoftu.
(EN)