JERNIH – Saat mendaftar untuk akun Instagram, layanan ini menjanjikan bahwa email dan tanggal lahir Anda tidak akan terlihat untuk umum. Namun temuan ini cukup mengejutkan.
Bug yang ditemukan peneliti keamanan Saugat Pokharel menunjukkan bahwa penyerang dapat dengan mudah mendapatkan informasi pribadi. Bug, yang ditambal setelah dilaporkan ke Facebook, dapat dieksploitasi oleh akun bisnis yang diberi akses ke fitur eksperimental yang sedang diuji perusahaan.
Serangan tersebut menggunakan alat Suite Bisnis Facebook, tersedia untuk semua akun bisnis Facebook. Pembaruan eksperimental berarti bahwa jika akun bisnis Facebook ditautkan ke Instagram dan disertakan dalam grup pengujian, alat Business Suite akan menampilkan informasi tambahan tentang seseorang di samping pesan langsung apa pun – termasuk alamat email dan ulang tahun mereka yang seharusnya pribadi. Yang harus dilakukan pengguna bisnis hanyalah mengirim pesan langsung di Instagram untuk memanggil informasi.
Seperti dikutip The Verge, Minggu (20/12/202020), Pokharel menemukan bahwa serangan tersebut berhasil pada akun yang disetel ke pribadi dan akun yang disetel untuk tidak menerima direct message (DM) dari publik. Jika akun tidak menerima DM, pengguna kemungkinan tidak akan menerima pemberitahuan apa pun yang menunjukkan bahwa profil mereka mungkin telah dilihat.
Sebagai pemburu bug berpengalaman, Pokharel juga menemukan bahwa Instagram sebenarnya tidak menghapus postingan yang dihapus pada bulan Agustus.
Dalam pernyataan yang diberikan kepada The Verge, juru bicara Facebook mengatakan bahwa bug hanya dapat diakses untuk waktu yang singkat, karena percobaan dimulai pada bulan Oktober. Perusahaan tidak mengungkapkan berapa banyak pengguna yang diberi akses ke fitur tersebut, tetapi dikatakan bahwa itu adalah “pengujian kecil”, dan penyelidikan tidak menemukan bukti penyalahgunaan. [*]
