Facebook'un Instagram fotoğraf paylaşma hizmetinde bir açık bulan güvenlik araştırmacısı, bir kurbanın hesabını nasıl ele geçirebildiğini gösterdi.
Carlos Reventlov, Kasım ortalarında bulduğu saldırı yöntemini Instagram'a bildirmesine rağmen açık henüz kapatılmamış. Reventlov, iPhone için yayınlanan Instagram 3.1.2'nin oturum açma bilgileri, profil bilgileri gibi bilgilerin Instagram'a gönderilirken şifrelense de, diğer verilerin şifrelenmediğini farketmiş. Reventlov, açığı şöyle açıklıyor: "Kurban Instagram uygulamasını başlattığında Instagram sunucusuna bir düz metin çerez gönderiliyor." "Saldırgan çerezi ele geçirdiğinde özel HTTP istekleri meydana getirerek verileri ele geçirebiliyor ve fotoğrafları silebiliyor."
Düz metin çerezin ele geçirilebilmesi için hacker'ın kurbanla aynı ağ üzerinde bulunması gerekiyor. Açık, ARP (Adres Çözümleme Protokolü) adı verilen bir yöntemden faydalanıyor. Hacker, çerezi elde ettikten sonra kurbanın fotoğraflarına ve onun arkadaşlarının fotoğraflarına erişebiliyor.