Son 2-3 yıldır veri sızıntıları ile başı dertte olan Facebook’un alt sitesi Instagram’daki açık, 1 hafta evvel tüm teknoloji manşetlerinde yer aldı. İsrailli güvenlik araştırmacısı @ZHacker13 ağustos ayında Instagram’da bir saldırganın kullanıcıların hesap bilgilerine erişmesine izin veren bir açık keşfetti. Ortaya çıkan bilgiler arasında, kullanıcı telefon numaraları ve gerçek isim var. ZHacker13 açığı Facebook’a derhal bildirmiş ve sorun bir süre sonra çözülmüş.
“Instagram User? your details may Leaked”
Facebook confirmed my critical vulnerability (leads to “Data Leak” of Instagram Users):https://t.co/N582NHxhpH
Thanks! @UKZak @Forbes @LukasStefanko
— ZHacker (@ZHacker13) September 12, 2019
Çözülmüş olmasına karşın, bu açığın haberini yapmamızın nedeni, turk-internet.com okuyucularına, nerelerde ne tür açıklar meydana geldiğini göstermek. Ya da tersine söylersek şöyle demek istiyoruz;
“Sosyal medya ve diğer internet alanlarında verdiğiniz bilgilerin bir gün ortaya çıkabilecek bir açık nedeniyle, ortaya dökülebileceğini hiç unutmayın ve bilgileri ancak gerektiği kadar verin”
Bu özellikle takma isimle hesap açanlar için bir uyarı; “nasılsa isim gerçek değil, ben olduğumu kimse anlamaz” sanmayın.
419 milyon Kullanıcının Verileri
1 hafta önce, Facebook’un 419 milyon kullanıcısının telefon ve hesap numaralarını listeleyen bir veritabanı ortaya çıktı. Facebook, veri tabanının Cambridge Analytica olayının ardından devre dışı bıraktığı bir araçla daha önceden derlendiğini iddia etti. Aynı zamanda verilerin bulunduğu sunucuların Facebook’a ait olmadığını da ekledi.
Ancak @ ZHacker13 tam bu sıralarda Instagram’daki güvenlik açığını keşfetmişti. Bu açık aynı türde kullanıcı verilerini açıyor. Facebook bu güvenlik açığının gerçek olduğunu kabul etti. Ancak bunun kullanılmasının kolay olmadığını belirtti. O zaman nasıl çalıştığına bakalım;
Peki nasıl çalışıyor?
Saldırı senaryoları iki adımdan oluşur:
- Saldırgan, Instagram’ın giriş formunda bot ile kaba bir saldırı gerçekleştirir ve canlı Instagram hesabına bağlı olanlar için bir seferde bir telefon numarasını kontrol eder.
- Saldırgan, Instagram’ın Eşitleme özelliğini kullanarak, telefon numarasına bağlı hesap adını ve numarayı bulur.
Bot kodunun tek bir örneğinin her gün 1000’den fazla orijinal Instagram numarası toplayabilir. Ve paralel olarak çalıştırılabilecek algoritma sayısında sınır yok.
Instagram senkronizasyonu hesap başına günde üç kez ile sınırlandırdı. Bu, her botun her gün üç kere kullanıcının bilgilerini döndürebileceği anlamına gelir. Yine, çalıştırılabilecek bot sayısında bir sınırlama yok. Çok sayıda bot tek bir makinede sürekli olarak çalışabilir.
Facebooka göre, herhangi bir kullanıcı verisinin bu güvenlik açığı kullanılarak istismar edildiğine veya kötüye kullanıldığına dair herhangi bir kanıt yok.