Bag je omogućavao da se kroz biznis naloge, kojima je dat pristup do eksperimentalnih funkcija u svrhu testiranja, otkriju i preuzmu pomenute informacije.
Napad bi mogao da se sprovede kroz Facebook Business Suite alat, koji je dostupan svakom ko ima business nalog. Eksperimentalni upgrade omogućava da se, ako je Facebook-ov biznis nalog povezan sa Instagram-om, prikažu neke dodatne informacije o osobama, koje uključuju i privatne email adrese i datume rođenja. Sve što bi korisnik trebao da uradi da bi im pristupio je da pošalje direktnu poruku na Instagram nalog korisnika. Istraživanje je pokazalo da se na ovaj način mogu dobiti informacije i sa naloga koji su podešeni kao privatni.
U zvaničnom saopštenju Facebook-a povodom tog pitanja, objavljeno je da je greška bila aktivna samo kratak period vremena, s obzirom da je eksperiment pokrenut u oktobru. Kompanija nije objavila koliko korisnika je imalo pristup toj funkciji, ali su rekli da je u pitanju „mali test“, kao i da je istraga utvrdila da greška nije eksploatisana. Istraživač koji je otkrio grešku, nagrađen je kroz Facebook Bug Bounty Program, a greška je ispravljena u roku od nekoliko sati nakon što je prijavljena.
Comments (0)
There are no comments. Be the first and leave a comment.