Facebook-Bug gewährte Einblick in Daten von Instagram-Nutzern
Nur Inhaber von Geschäftskonten, die eine bestimmte Variante des Business-Suite-Tools verwendeten, konnten die Daten abrufen. Facebook verspricht, dass sie vor fremden Augen verborgen bleiben. Der Sicherheitsforscher Saugat Pokharel fand die Lücke und das Unternehmen schloss sie nach dessen Meldung innerhalb kurzer Zeit.
Die betreffende Version des Business-Suite-Tools befindet sich in der Beta-Phase. Sie lieferte nur ausgewählten Geschäftskonteninhabern die zusätzlichen Informationen, wenn sie ihren Account mit Instagram verknüpft hatten und dem Ziel eine Direkt-Nachricht zuschickten. Das funktionierte sowohl bei privaten Konten als auch bei solchen, die keine öffentlichen Direktnachrichten akzeptieren. Damit könnten die Daten eingesehen worden sein, ohne dass Betroffene es merkten.
Das Experiment hatte Facebook im Oktober gestartet. Der Plattform-Betreiber antwortete auf eine Anfrage von The Verge: „Dieses Problem wurde schnell behoben und wir haben keine Hinweise auf Missbrauch gefunden“. Pokharel bestätigte, die Lücke sei wenigen Stunden nach seiner Meldung geschlossen worden. Facebook unterhält ein Programm namens Bug Bounty Program, das Melder von Sicherheitslücken belohnt.