به تازگی، فیسبوک آسیبپذیری جدیدی که قادر است از اینستاگرام کاربران سوءاستفاده کرده و شماره تلفن آنها را به شماره حساب، نام کاربری و نامهای واقعی خود پیوند دهد را در پلتفرم اینستاگرام خود ترمیم کرده است.
به گزارش مجله فوریز، مهاجمان با کمک یک الگوریتم جستجوی فراگیر (بروت فورس) و شبکهای از رباتها، قادر بودند از این نقص برای دور زدن حافظت از امنیت دادهها و دستیابی به دادههایی که برای ساخت یک بانک اطلاعاتی قابل جستجو برای دسترسی به اطلاعات کاربران برای حملات بعدی بکار گرفته میشوند، استفاده کنند.
این آسیبپذیری به طور خاص در ویژگی وارد کننده مخاطب (Contact importer) پلتفرم اینستاگرام قرار داشت و میتوانست از طریق یک فرایند دو مرحلهای مورد سوءاستفاده قرار بگیرد. ابتدا، یک مهاجم میبایست از یک الگوریتم بروت فورس برای ورود به اینستاگرام استفاده کند تا از طریق شماره تلفنهای تصادفی، شمارههای مرتبط با حسابهای فعال را پیدا نماید.
مرحله بعدی شامل سوءاستفاده از ویژگی همگامسازی مخاطبین (Sync Contacts) اینستاگرام برای پیوند دادن شماره تلفنهای تحت حمله بروت فورس، با نام و شماره حسابهای متعلق به مهاجمان است. به گفته فوربز، هکرها میتوانند از رباتهای خودکار برای سوءاستفاده از این روند استفاده کنند.
با وجود اینکه هیچ نشانهای مبنی بر فاش شدن مدارک و یا سرقت دادهها توسط هکرها وجود ندارد، چنانچه این آسیبپذیری دیرتر شناسایی میشد، میتوانست حساب کاربری و اطلاعات کاربران را در معرض خطر قرار دهد.