تسعى منصة إنستجرام عند تسجيل أي شخص جديد في المنصة، بأن تكون المعلومات الشخصية، مثل البريد الإلكتروني وتاريخ الميلاد، غير مرئية للجمهور.

وتمكن الباحث الأمني "سوجات بوخاريل" من الحصول على تلك المعلومات الشخصية بسهولة، رغم اخفاء المعلومات للمستخدمين، وكان الخطأ الذي تم تصحيحه بعد إبلاغ شركة فيسبوك، قابلا للاستغلال من الحسابات التجارية التي تم منحها الوصل إلى الميزة التجريبية التي كانت الشركة تختبرها.

وفي حال ربط الحساب التجاري ضمن فيسبوك بالحساب ضمن إنستاجرام وتضمينه في مجموعة الاختبار، فإن أداة Business Suite تعرض المعلومات الإضافية عن الشخص، ومن ضمنها عنوان بريده الإلكتروني الخاص وتاريخ ميلاده، وكل ما كان على مستخدمي الحسابات التجارية فعله هو إرسال رسالة مباشرة عبر إنستاجرام لطلب المعلومات.

ووجد بوخاريل أن الهجوم يعمل عبر الحسابات الخاصة والحسابات التي لا تقبل الرسائل المباشرة من الجمهور، وإذا لم يقبل الحساب الرسائل المباشرة، فمن المحتمل ألا يتلقى المستخدم أي إشعار يشير إلى أنه قد تم عرض حسابه.

وقال متحدث باسم فيسبوك في بيان: إن الوصول إلى الخطأ لم يكن متاحًا إلا لفترة قصيرة من الوقت، حيث بدأت التجربة في شهر أكتوبر، ولم تكشف الشركة عن عدد المستخدمين الذين مُنحوا حق الوصول إلى الميزة، لكنها تقول: إنه كان اختبارًا صغيرًا، وإن التحقيق لم يجد أي دليل على إساءة الاستخدام.

ووفقًا لبوخاريل، الذي اكتشف في شهر أغسطس أن إنستاجرام لم تكن تحذف المشاركات المحذوفة، فقد أصلح مهندسو فيسبوك المشكلة في غضون ساعات قليلة من تلقي الإشعارات.

وقالت فيسبوك: أبلغ أحد الباحثين عن مشكلة، بحيث إذا كان شخص ما جزءًا من اختبار صغير أجريناه في شهر أكتوبر للحسابات التجارية، فمن الممكن أن يتم الكشف عن المعلومات الشخصية الخاصة بالشخص الذي كان يراسله.

وأضافت: تم حل هذه المشكلة بسرعة، ولم نكتشف أي دليل على إساءة الاستخدام، وقمنا من خلال برنامج Bug Bounty بمكافأة هذا الباحث على مساعدته في إبلاغنا بهذه المشكلة.