Attraverso un bug della piattaforma business di Facebook era possibile accedere alle informazioni personali degli utenti di Instagram semplicemente utilizzando uno strumento messo a disposizione dallo stesso social. A rivelarlo è il ricercatore di sicurezza Saugat Pokharel, che l'ha segnalato a Facebook. In breve, sul portale elementi come l'indirizzo email e il compleanno non sono visibili agli altri utenti, ma attraverso questa falla era possibile accedervi semplicemente attraverso un account business.
L'attacco utilizzava gli strumenti business messi a disposizione dall'azienda di Menlo Park per la gestione degli account Facebook e Instagram e, in particolare, quelli appartenenti alle versioni sperimentali di questi strumenti. Attraverso queste funzioni era infatti possibile visualizzare informazioni aggiuntive degli account tra cui, appunto, indirizzo email e data di nascita. I dati venivano visualizzati quando gli utenti inviavano un messaggio privato su Instagram a una pagina business (o viceversa) con attivi gli strumenti sperimentali: quando succede, accanto al messaggio vengono visualizzate alcune informazioni sull'utente, ma non dovrebbero essere mostrati dettagli personali come email e data di nascita.
Secondo Pokharel, l'attacco funzionava sia su chi aveva impostato l'account come privato sia su chi non accettava DM da chiunque. Anzi, in quest'ultimo caso l'utente non riceveva nemmeno una notifica per avvisarlo del contatto dalla pagina business. "Questo problema è stato risolto velocemente e non abbiamo individuato nessuna prova di abuso" ha spiegato Facebook in una nota. "Attraverso il nostro programma di ricerca di bug abbiamo premiato questo ricercatore per averci aiutato". Secondo Pokharel, gli ingegneri del social network hanno risolto la falla in poche ore dopo l'invio della segnalazione.
