Az egész Instagramot ellophatta volna

2015.12.18. 16:45

Az Instagram minden bizalmas adatához hozzáfért egy biztonsági szakértő, aki súlyos biztonsági rést talált a képmegosztó rendszerében. A hibákat jelentette a tulajdonos Facebooknak. Pénzjutalom helyett fenyegetést kapott, állítja.

Több alkalommal is súlyosan sebezhetőnek találta az Instagram rendszerét Wesley Wineberg, a Synack cég alkalmazottja. A hibákat kihasználva hozzáfért a képmegosztó legutóbbi verziójának forráskódjához, SSL-tanúsítványaihoz és az Instagram.com privát kulcsaihoz.

Ezeken túl pedig az azonosításra szolgáló sütikhez és még féltucatnyi más, érzékeny, bizalmas adathoz, beleértve az iOS- és Android-appok belépő kódjait vagy az iOS push notification kulcsait.

Hozzáfért az Instagram alkalmazottjainak fiókjaihoz és jelszavához is - gyakorlatilag mindenhez.

Ugyan mindenhez hozzáfért, mégsem élt vissza veleForrás: AFP/Josh Edelson

Túl messzire ment

Wineberg három alkalommal is jelentette a sebezhetőséget okozó hibákat a Facebooknak a cég hibakereső programján belül. Első bejelentéséért 2500 dollár, azaz több mint hétszázezer forint jutalmat kapott.

Jutalom a talált hibák után
A Facebook 2011-ben indította el "Bug Bounty" nevű hibakereső programját. Ennek keretében pénzjutalmat ajánl fel azoknak, akik bejelentik az általuk talált sérülékenységeket, bugokat.

Következő alkalommal a cég figyelmeztette: túllépte a Bug Bounty program határait, majd a férfi közvetlen főnökét hívta fel a Facebook információbiztonsági igazgatója, Alex Stamos. Wineberg blogja szerint Stamos közvetetten bírósági eljárással és rendőrséggel fenyegetőzött.

A Facebook mindezt tagadja. Álláspontjuk szerint csupán arra kérték a férfit, hogy ne hozza nyilvánosságra az adatokat, amelyekhez a szabálysértés során hozzáfért.

"Túllépett egy határon azzal, amikor privát adatokat szedett ki a rendszerből"- áll a közleményben. A cég hozzátette, hogy azóta minden rést befoltozott, és nem áll szándékukban pert indítani.

Alex Stamos, a Facebook információbiztonsági igazgatójaForrás: AFP/2014 Getty Images/Win Mcnamee

Sokan úgy gondolják, nem valószínű, hogy Stamos valóban megfenyegette a férfit, mivel hosszú ideje elkötelezett támogatója az információbiztonsági kutatásoknak, és bojkottálja azon cégeket, akik perrel fenyegetőznek a cenzúra érdekében. 

még több súlyos biztonsági rés