21 december 2020 08:12

Instagram bug maakte mailadres en geboortedatum openbaar

Een bug in Instagram kon misbruikt worden waarbij privé mailadressen en geboortedata openbaar stonden. Ook bij afgeschermde profielen.

Wie vandaag een account aanmaakt op Instagram, wordt gevraagd om een mailadres en de geboortedatum in te vullen. Facebook geeft wel meteen aan dat die data niet openbaar beschikbaar zijn. Zo gebruiken ze het mailadres onder andere om je te contacteren en je geboortedatum voor de gebruikersdatabase en adverteerders. Toch blijkt nu dat het via een bug in Instagram mogelijk was om die data openbaar te zetten.

Instagram bug

De fout werd ontdekt door cyberveiligheidsonderzoeker Saugat Pokharel. Via een Facebook Business account kon je simpelweg de bug misbruiken. Dat moest Pokharel via de Facebook Business Suite tool doen die voor iedereen beschikbaar is met een Business-account.

Via een upgrade van een privé-account naar een zakelijk account toonde de Business Suite van Facebook extra informatie over profielen. Je kon dus niet alleen een privébericht versturen, maar ook het private mailadres en de geboortedata was openbaar zichtbaar.

De fout werkte zowel bij privé-accounts die volledig afgeschermd waren, als openbaar. Zelfs wie had aangevinkt dat hij/zij geen berichten wilde ontvangen van onbekende profielen, zat mee in de fout. Pokharel is tevens ook de onderzoeker die deze zomer een fout in Instagram vond en ontdekte dat Facebook verwijderde posts helemaal niet wegdoet. Volgens Facebook was er over de bug geen aanwijzing van misbruik en leek het bedrijf iets te testen. Intussen lijkt de bug wel te zijn opgelost.