Специалисты Facebook ликвидировали уязвимость в Instagram, которая давала возможность заполучить доступ к 1000000 временно заблокированных аккаунтов. Проблема была обнаружена экспертом в сфере информационной безопасности из Бельгии Арне Свинненом, проводившим анализ двух ошибок, которые связаны с отсутствием авторизации и недостаточной проверкой пользовательской информации.
Ранее Свиннен уже находил уязвимости в Instagram. Так, в ходе проверки одного из своих тестовых аккаунтов эксперт обратил внимание на то, что в URL присутствовал уникальный идентификатор пользователя.
Когда Свиннен пытался изменить идентификатор пользователя, то он выявил отсутствие механизма аутентификации в сервисе. Как утверждает эксперт, хакер мог вводить правильные идентификаторы и обновлять электронные почтовые адреса, которые связаны с временно заблокированными аккаунтами. Используя функцию смены пароля по электронной почте, злоумышленник мог заполучить полный доступ к 1690 учетных записей Instagram.
Кроме того, Свиннену удалось получить доступ к телефонным номерам, привязанным к аккаунтам, чтобы в дальнейшем воспользоваться функцией восстановления пароля с помощью SMS. Данной уязвимостью затронуты 38808 аккаунтов.
Свиннен проинформировал специалистов Facebook, которые оперативно устранили ошибку. За обнаружение уязвимости корпорация заплатила эксперту 5000 долларов.