Az egész Instagramot ellophatta volna

Több alkalommal is súlyosan sebezhetőnek találta az Instagram rendszerét Wesley Wineberg, a Synack cég alkalmazottja. A hibákat kihasználva hozzáfért a képmegosztó legutóbbi verziójának forráskódjához, SSL-tanúsítványaihoz és az Instagram.com privát kulcsaihoz.

Ezeken túl pedig az azonosításra szolgáló sütikhez és még féltucatnyi más, érzékeny, bizalmas adathoz, beleértve az iOS- és Android-appok belépő kódjait vagy az iOS push notification kulcsait.

Túl messzire ment

Wineberg három alkalommal is jelentette a sebezhetőséget okozó hibákat a Facebooknak a cég hibakereső programján belül. Első bejelentéséért 2500 dollár, azaz több mint hétszázezer forint jutalmat kapott.

Következő alkalommal a cég figyelmeztette: túllépte a Bug Bounty program határait, majd a férfi közvetlen főnökét hívta fel a Facebook információbiztonsági igazgatója, Alex Stamos. Wineberg blogja szerint Stamos közvetetten

A Facebook mindezt tagadja. Álláspontjuk szerint csupán arra kérték a férfit, hogy ne hozza nyilvánosságra az adatokat, amelyekhez a szabálysértés során hozzáfért.

"Túllépett egy határon azzal, amikor privát adatokat szedett ki a rendszerből"- áll a közleményben. A cég hozzátette, hogy azóta minden rést befoltozott, és nem áll szándékukban pert indítani.

Sokan úgy gondolják, nem valószínű, hogy Stamos valóban megfenyegette a férfit, mivel hosszú ideje elkötelezett támogatója az információbiztonsági kutatásoknak, és bojkottálja azon cégeket, akik perrel fenyegetőznek a cenzúra érdekében.