In Instagram wurde eine neue Sicherheitslücke entdeckt, die es einem Täter ermöglicht, jemanden als Freund hinzuzufügen und dessen private Fotos und Profilinformationen anzuzeigen. Facebook wurde kontaktiert. Während wir auf eine Erklärung und/oder eine Lösung warten, seien Sie bitte vorsichtig bei dem, was Sie in den Dienst hochladen.
Spanischer Sicherheitsforscher Sebastián Guerrero hat einen Fehler entdeckt Instagram die er als „Freundschaftslücke“ bezeichnet hat. Kurz gesagt, es ermöglicht jedem, sich selbst als Freund zu Ihrem Instagram-Konto hinzuzufügen. Dadurch können sie dann Fotos, die Sie auf „Privat“ eingestellt haben, sowie Profilinformationen anzeigen.
Guerrero macht für den Fehler Instagrams „mangelnde Kontrolle über die Logik der Autorisierungsfunktion“ verantwortlich. Er erklärt, dass sowohl die iPhone- als auch die Android-Apps von der Remote-Schwachstelle betroffen sind. Darüber hinaus weist der Sicherheitsforscher darauf hin, dass ein Angreifer einen Brute-Force-Angriff versuchen könnte, bei dem er oder sie sich als Freund zu einer Liste von Benutzern hinzufügt und dann alle privaten Alben dieser Benutzer stiehlt.
In einem Beispiel fügt sich Guerrero dem Konto von Facebook-Mitbegründer und CEO Mark Zuckerberg hinzu (wie Sie im Screenshot oben sehen können). Anschließend schickt er Zuckerberg eine persönliche Glückwunschnachricht zum Kauf von Instagram:
Herzlichen Glückwunsch, Mark, zur Instagram-Akquise. Wann wäre es für das Bounty-Bug-Programm geeignet? :):)
Guerrero sagt, er habe Instagram bereits mit Einzelheiten zu dem Fehler kontaktiert. Ich habe Facebook kontaktiert, das gerade dabei ist, das Unternehmen zu übernehmen, und werde Sie informieren, wenn ich etwas höre.
Wenn Sie Instagram nutzen, achten Sie in der Zwischenzeit darauf, keine sensiblen Bilder auf dem Dienst zu speichern. Dabei gilt die allgemeine Regel: Laden Sie nichts ins Internet hoch, von dem Sie sich nicht wohl fühlen, wenn es jeder sieht.
Hut ab ESET dass du mich über diesen Fehler informiert hast.
Aktualisieren – Instagram spielt dieses Problem herunter, indem es Folgendes sagt:
- Wir haben keine Beweise dafür, dass dieser Fehler in einem anderen Ausmaß als in sehr minimalen Experimenten durch einen technischen Forscher ausgenutzt wurde.
- Der technische Forscher war weder in der Lage, private Nutzer zu verfolgen, noch waren die Daten privater Nutzer jemals gefährdet.
- Der Fehler wurde innerhalb weniger Stunden nach der Benachrichtigung behoben und auf Integrität getestet.
- Während des Fehlers waren die Daten der Benutzer zu keinem Zeitpunkt gefährdet – und zu keinem Zeitpunkt wurden private Fotos veröffentlicht.
Instagram sagte auch, dass der Fehler nur „ganz bestimmte Umstände“ betraf, bei denen „eine folgende Beziehung“ bestand könnte falsch erstellt worden sein.“ Das Unternehmen gab an, den betreffenden Fehler behoben zu haben, und Guerrero bestätigte dies über Twitter. Alles ist wieder gut.
Siehe auch:
- Instagram überschreitet 50 Millionen Nutzer
- Facebook kauft Instagram für 300 Millionen Dollar und 23 Millionen Aktien
- Der Mitbegründer von Instagram lehnte einen Job von Mark Zuckerberg ab
- 10 Gründe, warum Instagram für Facebook so ist wie YouTube für Google
- Facebook hat immer noch das Geld, um noch viel mehr Instagram zu kaufen
- Instagram ist jetzt die beste iPhone-App
- Warum Facebook Instagram für 1 Milliarde US-Dollar übernommen hat