Bir araştırmacı, Instagram'nın web sitesinde en az dört aylık bir süre zarfında telefon numaraları ve e-posta adresleri dahil olmak üzere kullanıcı iletişim bilgilerinin sızdırıldığını açıkladı.
Bazı Instagram kullanıcı profillerinin kaynak kodu, bir web tarayıcısına yüklendiğinde hesap sahibinin iletişim bilgilerini açıkça gösteriyor. Bir veri bilimcisi ve iş danışmanı olan David Stier, bu yılın başlarında sorunu kısa bir süre sonra keşfettiğini kısa süre sonra Instagram'ya bildirmişti. İletişim bilgileri, fotoğraf paylaşım sitesinin uygulaması üzerinde iletişim için kullanılmasına rağmen, Instagram web sitesinin masaüstü sürümündeki hesap sahibinin profillerinde görüntülenmiyor. Bilgilerin neden web sitesinin kaynak koduna dahil edildiği ise açık değil.
Stier, bu durumun bazı özel teşebbüslere ait işletmeler ve markalarla birlikte binlerce hesaba ait iletişim bilgilerini içerdiğini belirtti. Kaynak koddaki bilgilerin eklenmesi, bilgisayar korsanlarının Instagram web sitesinde veri madenciliği yapmalarına ve binlerce Instagram kullanıcısının iletişim bilgilerini listeleyen sanal bir telefon rehberi oluşturmalarına izin veriyor.
Dahası, bu durum söz konusu saldırganlar tarafından bir kullanıcı hesabı dizini oluşturulmak amacıyla kullanılmış olabilir. Pazartesi günü ortaya çıkan bir rapor, Hindistan'da bir pazarlama şirketinin milyonlarca Instagram hesabı için iletişim bilgilerini kayıt altına aldığını ve güvenli olmayan bir veritabanında sakladığını ortaya koydu. Bu veritabanının nasıl oluşturulduğu belli değil ancak kesin bir şey var: Instagram'dan gelen verileri madenciliğe tabii tutmak, sosyal ağın kullanım koşullarına aykırı.
Çarşamba günü açıklama yapan Instagram, Stier'in sızdırılan kodlar hakkındaki raporun sosyal medya ağının arkasındaki şirket olan Facebook taradından araştırıldığını açıkladı ancak konu hakkında fazla yorum yapmaktan kaçındı. Instagram daha önce Hintli pazarlama şirketi Chtrbox tarafından sağlanan veritabanını da değerlendirdiğini açıklamıştı. Şirket, bildirisinde Chtrbox veritabanının kişisel bilgiler bulundurmadığını ve etik olmayan yollardan bilgi sağlanılmadığını açıkladı.
Stier, telefon numaralarının ve e-postaların Instagram profillerinin arşivlenmiş sürümlerine bakarak en azından Ekim ayından bu yana kaynak kodunda açık bulunduğuna dair kanıtlarının olduğunu belirtti. Görünüşe göre bu sorun, Şubat ayında Instagram'ya bildirildi ve sosyal medya devi tarafından Mart ayında çözüldü.
Instagram'ın yol açtığı bu durum, internette kişisel ve hassas bilgileri bulmanın ne kadar kolay olduğuna bir örnek. Programlama hataları, temel becerilere sahip kişilerin bulabilecekleri ve kötüye kullanabilecekleri bilgileri açığa çıkarabilir. Örneğin, Google geçtiğimiz salı günü bazı işletme müşterilerinin şifrelerini -endüstri standardı korumalardan kaçınan güvensiz bir uygulama olarak- düz metin şeklinde sakladığını açıkladı. Bu bildiriler, bilgisayar korsanlarının web kullanıcıları hakkındaki değerli bilgileri toplayarak dolandırıcılık ve kimlik hırsızlığı riskine sokmalarına yardımcı olabilir.
İletişim bilgileri, başkalarının uygulama aracılığıyla kendileriyle iletişim kurmasına izin vermeyi seçtikleri takdirde, kullanıcıların e-posta adreslerini ve telefon numaralarını görüntüleyen Instagram uygulamasında da mevcut bulunuyor. Carnegie Mellow Üniversitesi'nde bilgisayar güvenliği profesörü olan Jason Hong'a göre bu tasarım ideal olmamakla birlikte, bir web sitesinin kaynak koduna iletişim bilgilerini eklemekten daha güvenli.
"Bir web sitesin üzerinden veri madenciliği yapmak nispeten kolaydır," ifadesinde bulunan Hong, sözlerine "Çalışan bir uygulama üzerinden veri madenciliği yapmak da mümkündür, ancak bu süreç daha zordur." ifadelerini de ekliyor.
Tüm e-posta adresiniz veya telefon numaranız açıkta olsa da suçluların size çok fazla zarar veremeyeceğini düşünebilirsiniz. Ancak kimlik hırsızları, bu verileri internet sitelerinden kazandıkları verilerden ve veritabanlarına yaptıkları saldırılarından topladıkları diğer bilgilerle bir araya getirme amacında. Örneğin, güvenlik uzmanı Troy Hunt, Ocak ayında yayınladığı yazıdaişlenen birkaç farklı veri ihlalinden elde edilen verilerden oluşan 773 milyon parolalık bir veritabanı keşfettiğini açıkladı.
Kimlik Hırsızlığı Kaynak Merkezi'nin iletişim başkan yardımcısı Charity Lacey, suçluların sahtekarlık tespit önlemlerini yenmek ve başarılı bir şekilde başkası olarak görünmek için mümkün olduğunca belirleyici bilgileri birleştirdiğinin altını çiziyor.
Lacey, "Hırsızlar bu verileri topluyor ve sistemi yenmek için daha sağlam profiller oluşturuyorlar"