IG再傳會洩露用戶電話、姓名的漏洞

臉書的Instagram（IG）再發現漏洞。研究人員近日在IG上發現一項漏洞，可讓攻擊者透過暴力破解及IG的同步工具，找到用戶名稱、電話號碼、真實姓名等個資，甚至還能以自動化工具蒐集成名單。在接獲通報後，臉書已經將之修補。

這項漏洞是由推特代號為ZHacker13的以色列駭客發現，並由財星雜誌（Forbes）報導。

攻擊主要分成兩步驟。首先，攻擊者可以簡單的演算法在登入表單中發動暴力破解，輸入隨機電話號碼，藉回傳結果查詢到有效的IG帳號。由於攻擊者可以同時使用無上限的演算法，研究人員估計以其設備，每輸入1.5萬筆電話號碼，平均可回傳1,000個有效帳號。接著，攻擊者可利用IG的同步聯絡人功能，連結電話號碼和IG用戶名稱和帳號。攻擊者以網頁機器人建立新帳號後，IG會問這個機器人帳號是否要同步其聯絡人。之後同步功能便回傳大量帳號及用戶名稱，只要帳號內有符合的電話號碼，就會和攻擊者手上的電話號碼連結起來，進而顯示更多帳號細節。

雖然IG已預建機制，一個網頁機器人每天只能查詢3個用戶，但是它並未限制使用的網頁機器人數量。ZHacker13一台機器就可同時跑40個以上的機器人。在其一次測試中，他從1,000筆可能的電話號碼中，查詢到連結有完整電話號碼的有效帳號，研究人員表示以合理資源，他可以建立數百萬筆IG帳號的資料庫。他說在資源無限情況下，理論上可以抓完所有IG用戶帳號個資。

臉書已對媒體證實有這項漏洞，不過獲得通知後，臉書也很快就修補了該漏洞。

這是IG最新被揭露的資料安全漏洞。7 月一名獨立研究人員破解Instagram（IG）社交網站的密碼復原程序，藉此取得任何IG用戶的登入憑證，最後得到了臉書頒發的3萬美元抓漏獎金。媒體Buzzfeed上周也發現IG有一個漏洞，可讓用戶張貼在不公開帳號及限時動態中的照片和影片，在瀏覽器環境下讓他人存取、下載及轉傳。

上個月另一個通訊軟體Telegram也被發現類似問題。透過Telegram的「搜尋聯絡人」功能輸入一大批手機電話號碼，這些人就會被加入到Telegram聯絡人名單，且伴隨顯示其真實手機號碼，不論這些人是否設定其他人可看到其帳號。但Telegram指這是一項功能設計，不是漏洞，因此也沒有所謂的修補行動。