注册Instagram账户时,该服务承诺不会公开你的电子邮件和生日。然而,安全研究人员Saugat Pokharel发现了一个bug,使得攻击者可以很容易地获得这些私人信息。该漏洞在被报告给Facebook后被修补,被允许访问该公司正在测试的一个实验性功能的商业账户所利用。
这次攻击使用了Facebook的Business Suite工具,任何Facebook商业帐户都可以使用。这一实验性升级意味着,如果一个Facebook商业账户链接到Instagram,并被纳入测试组,那么business Suite工具将在任何直接消息旁边显示一个人的其他信息——包括他们的私人电子邮件地址和生日。商业用户所要做的就是在Instagram上直接发送一条信息来调出这些信息。
Pokharel发现,攻击对设置为私有的帐户和设置为不接受公共DMs的帐户有效。如果帐户不接受DMs,用户可能不会收到任何通知,表明他们的配置文件可能已被查看。
Pokharel是一位经验丰富的窃听者,他还发现Instagram并没有在8月份删除被删除的帖子。
Facebook的一位发言人在提供给Verge的一份声明中说,由于该实验是在10月份开始的,因此该漏洞只能在短时间内被发现。该公司没有透露有多少用户可以使用该功能,但表示这只是一个“小测试”,而且调查没有发现滥用的证据。
声明全文如下。
A researcher reported an issue where, if someone was a part of a **all test we ran in October for business accounts, personal information of the person they were messaging could have been revealed. This issue was resolved quickly, and we discovered no evidence of abuse. Through our Bug Bounty Program we rewarded this researcher for his help in reporting this issue to us.
据Pokharel称,Facebook的工程师在接到通知后几个小时内就解决了这个问题。
美国东部时间12月18日下午6:20更新:澄清了第二段中的一点,即只有包含在实验中的账户才能获得信息。
... 此次泄密泄露了14亿个电子邮件账户,包括实名、用户IP地址,有时还包括物理地址。 ...
...这是一次由俄罗斯黑客组织支持的黑客攻击,包括姓名、电子邮件地址、电话号码、出生日期、加密密码在内的数据被窃取,在某些情况下,甚至还有安全问题。 ...
... Instagram上的商业账户公开显示用户的电话号码和电子邮件地址。这意味着,任何将个人资料转换为商业帐户的未成年用户都会暴露其电子邮件地址和电话号码。 ...
...人。对于其中的1500万人来说,黑客能够获得电话号码、电子邮件地址,或者两者兼而有之。而对于另外1400万人来说,黑客能够获得更多的信息,比如用户名、性别、关系状况、宗教信仰、生日,以及大量其他信息,包括你搜索...
...上几乎所有可用的信息。全名,电话号码,地点,生日,电子邮件地址,关系状态,你的名字。 这些个人数据是在网上发布的,任何人都可以免费访问,如果他们知道去哪里找。5亿3300万名受影响的用户来自美国、英国、印度和...
...话号码、Facebook ID、全名、地点、生日、bios,有时还包括电子邮件地址 如果这5.33亿的数字听起来你可能很熟悉,那是因为这些信息显然来自同一个数据集,人们可以为使用Telegrambot支付部分费用,主板在一月份报道了这个数据...
...为目标”而构建的。在这种理念下,这款应用程序不收集电子邮件地址、生日或地点等个人数据——讽刺的是,Facebook已经可以访问这些数据——库姆说,公司没有计划改变这一点。此外,该公司此前表示,没有与Facebook共享数...