Ketika pengguna ingin membuat akun baru di Instagram, pengguna diminta menyertakan email serta data diri lainnya sebagai persyaratan yang harus dipenuhi dan layanan ini menjanjikan bahwa data-data pribadi tersebut tidak akan terlihat untuk umum.
Namun baru-baru ini peneliti keamanan Saugat Pokharel menemukan bug yang membuat data pribadi pengguna Instagram bocor. Penyerang siber ini dengan mudah mendapatkan informasi pribadi pengguna dan dapat dieksploitasi oleh akun bisnis yang diberi akses ke fitur eksperimental yang sedang diuji perusahaan.
Dilansir dari situs The Verge, serangan tersebut menggunakan alat Business Suite Facebook yang tersedia untuk semua akun bisnis Facebook. Pembaruan fitur eksperimental berarti bahwa jika akun bisnis Facebook ditautkan ke Instagram dan disertakan dalam grup pengujian.
Alat Business Suite akan menampilkan informasi tambahan tentang pengguna seperti alamat email dan tanggal ulang tahun mereka yang seharusnya bersifat pribadi. Pengguna fitur bisnis hanya perlu mengirim pesan langsung ke Instagram untuk mendapatkan informasi.
Pokharel menemukan bahwa serangan tersebut berhasil pada akun yang disetel ke mode pribadi dan akun yang disetel untuk tidak menerima DM dari publik. Jika akun tidak menerima DM, pengguna kemungkinan tidak akan menerima pemberitahuan apa pun yang menunjukkan bahwa profil mereka mungkin telah dilihat.
Pokharel juga menemukan bahwa Instagram sebenarnya tidak menghapus postingan yang dihapus pada bulan Agustus. Dalam pernyataan yang diberikan kepada The Verge, juru bicara Facebook mengatakan bahwa bug hanya dapat diakses untuk waktu yang singkat, karena percobaan dimulai pada bulan Oktober.
Perusahaan tidak mengungkapkan berapa banyak pengguna yang diberi akses ke fitur tersebut, tetapi dikatakan bahwa itu adalah pengujian berskala kecil, dan penyelidikan tidak menemukan bukti penyalahgunaa dari bug tersebut. Menurut Pokharel, teknisi Facebook memperbaiki masalah ini dalam beberapa jam setelah diberi tahu.
“Seorang peneliti melaporkan masalah di mana, jika seseorang adalah bagian dari tes kecil yang kami jalankan pada bulan Oktober untuk akun bisnis, informasi pribadi orang yang mereka kirimi pesan dapat terungkap. Masalah ini diselesaikan dengan cepat, dan kami tidak menemukan bukti penyalahgunaan. Melalui Program Bug Bounty, kami memberi penghargaan kepada peneliti ini atas bantuannya dalam melaporkan masalah ini kepada kami” kata Facebook.(na)