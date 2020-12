Instagram appartenant à Facebook a été touché par un bug qui aurait révélé des informations privées sur les utilisateurs, telles que l’identifiant de messagerie et l’anniversaire. Au moment de l’inscription, la plate-forme de médias sociaux promet aux utilisateurs que leurs coordonnées et leur date de naissance ne seront pas divulguées pour des raisons de sécurité. Selon The Verge citant le chercheur en sécurité Saugat Pokharel, le bogue était exploitable par des comptes professionnels Facebook qui avaient accès à une fonctionnalité expérimentale testée par Instagram. Le rapport ajoute que les mauvais acteurs, dans ce cas, pourraient tirer parti de l’outil Facebook Business Suite disponible pour les comptes professionnels, pour afficher des informations telles que la date de naissance et l’adresse e-mail. Bien que ces données personnelles puissent sembler insignifiantes, en cas d’accès, les attaquants pourraient mener des escroqueries par hameçonnage ou lancer d’autres campagnes malveillantes qui peuvent même compromettre l’appareil.

Le rapport note en outre que si un compte professionnel Facebook était lié à Instagram et était inclus dans le groupe de test, les attaquants pourraient afficher des informations supplémentaires sur une personne à côté de tout message direct via en raison du bogue sur l’outil Business Suite. « Tout ce que les utilisateurs professionnels avaient à faire était d’envoyer un message direct sur Instagram pour appeler les informations », a-t-il noté. L’attaque aurait également fonctionné sur des comptes définis comme privés ou n’acceptant pas les DM du public. Le rapport souligne que si un compte n’acceptait pas les DM, l’utilisateur ne recevrait potentiellement aucune notification indiquant que son profil a peut-être été consulté.

Cependant, Facebook dans un communiqué a déclaré que le bogue n’était accessible que pendant une courte période de temps. La société, bien que, n’ait pas révélé combien d’utilisateurs professionnels avaient accès à la fonctionnalité expérimentale, le géant des médias sociaux ajoute qu’il s’agissait d’un « petit test » et qu’une enquête n’a trouvé aucune preuve d’abus. « Un chercheur a signalé un problème où, si une personne participait à un petit test que nous avons effectué en octobre pour des comptes professionnels, les informations personnelles de la personne à qui elle envoyait des messages auraient pu être révélées. Par le biais de notre programme Bug Bounty, nous avons récompensé ce chercheur pour son aide à nous signaler ce problème « , lit-on dans la déclaration donnée à The Verge.

Fait intéressant, en août, Pokharel a également découvert qu’Instagram stockait les messages supprimés et les photos de ses utilisateurs.