Onderzoeker Wesley Weinberg beweert dat Facebook met een rechtszaak tegen hem dreigt, omdat hij op onverantwoorde wijze kwetsbaarheden bekend zou hebben gemaakt. Hij had zich namelijk toegang verschaft tot gevoelige data op de servers van Instagram.
De reden dat Facebook – dat Instagram enkele jaren geleden kocht – dit doet, is omdat Weinberg opzettelijk fouten en andere informatie zou achterhouden, volgens Facebook.
Remote Code Execution
Weinberg is een senior beveiligingsonderzoeker bij Synack en nam deel aan Facebooks bug bounty programma. Een van zijn vrienden maakte hem attent op een potentieel kwetsbare server op sensu.instagram.com. Weinberg vond een Remote Code Execution (RCE) bug in de manier waarop de server cookie-sessies verwerkt. Meestal worden dit toegepast om login-details van gebruikers te onthouden.
Toegang tot privégegevens
In zijn blog schreef Weinberg: “Het is fair om te stellen dat ik toegang heb gekregen tot eigenlijk al het belangrijke, geheime materiaal van Instagram. Ik zou gemakkelijk volledige toegang hebben kunnen krijgen tot de accounts van alle gebruikers, inclusief (persoonlijke) foto’s en gegevens.” Weinberg rapporteerde zijn bevindingen aan het security-team van Facebook maar het bedrijf denkt dat hij tijdens zijn onderzoek toegang had tot privégegevens van gebruikers en medewerkers van Instagram.