Instagram’da var olduğuna BuzzFeed tarafından dikkat çekilen bir güvenlik açığı, gizli olarak ayarlanmış hesapların paylaşımlarının işlenmesiyle ilgili bir sıkıntının olduğunu gösteriyor. Habere göre, herhangi bir web tarayıcısında bir dizi fare tıklamasıyla gizli paylaşımların ve hikâyelerin Facebook sunucularında tutulan önbelleklerinin kalıcı URL’lerinin görülebileceği belirtiliyor.
Herhangi bir kullanıcı, Google Chrome internet tarayıcısındaki “İncele” aracına benzer bir araçla web sayfasının kaynak kodlarını inceleyebilir. İncele aracında bulunan Network sekmesinin altındaki “Img” bölümüne baktığınızda, tıkladığınız her bir Instagram görüntüsünün adresini görebilirsiniz. Bu, belli bir süre sonra kaybolan hikâye de, bir kullanıcının akışında paylaşılan fotoğraf da olabilir. Bu URL paylaşılabilir ve fotoğraflar da, aralarında özel hesabı takip etmeyenlerin de bulunduğu herhangi bir kişi tarafından görülebilir.
Gizli bir hesaptan paylaşılmış fotoğrafların kalıcı adreslerinin kolaylıkla açığa çıkarılabilmesine ek olarak, aynı kaynak kodu numarasıyla aynı Instagram paylaşımıyla etkileşimde bulunan ve aynı zamanda hesapları gizli olan diğer Instagram kullanıcılarının profil fotoğraflarının da adreslerini çekebilirsiniz.
Tabii ki, tüm bunları yapabilmek için söz konusu gizli hesabın akışına ve hikâyelerine erişme hakkınızın bulunması gerekiyor. Ancak açık ve bunun kolaylıkla kullanılabilir olması, Instagram’ın gizlilik ve güvenlik ekiplerinin gözden kaçırdığı küçük, ancak önemli bir ayrıntının var olduğunu gösteriyor.
Instagram’daki açık Facebook’ta da kullanılabiliyor
BuzzFeed’e göre elde edilen adresler, paylaşımlar silinse bile Facebook’un sunucularından silinmiş görüntüleri getirmeyi sürdürüyor. Bu durum hem akış hem de hikâye bölümünde paylaşılan ve normalde 24 saat sonra silinen fotoğraflar için geçerli görünüyor. BuzzFeed, özel hikâyelerin URL’lerinin de son kullanma tarihinin geçmesinden günler sonra bile hikâyeyi göstereceğini söylüyor. Ayrıca haberde, aynı yöntemin özel Facebook paylaşımları ve fotoğraflarını görmek için de kullanılabildiği öne sürülüyor.
Facebook da konuyla ilgili bir açıklama yaptı. Şirketin belirttiğine göre, gizli bir fotoğrafın adresini bularak onu herkesle kolay biçimde paylaşma davranışı, bir paylaşımın ekran görüntüsünü almakla eşdeğer tutuluyor. Şirket, bu açığının kötüye kullanıldığına dair herhangi bir işarete rastlamadığını da söylüyor. Yapılan açıklamada, “Burada açıklanan davranış, bir arkadaşın Facebook ve Instagram’daki fotoğrafının ekran görüntüsünü almak ve diğer insanlarla paylaşmakla aynıdır. İnsanlara bir kişinin özel hesabına erişme izni vermez.” ifadesi kullanıldı.
