Pierwsza luka dotyczyła aplikacji Instagram na androida. Hakerzy mogli z łatwością korzystać z faktu, że nazwy użytkowników serwisu są powszechnie dostępne i skatalogowane. Aby uzyskać hasła dostępu do ogromnej ilości kont, wystarczy wykorzystać metodę tzw. brute- force attack (algorytm komputerowy generuje losowe kombinacje znaków, aż natrafi na to właściwe, dające dostęp do konta). Jest to możliwe ze względu na niskie zabezpieczenia popularnej platformy. Instagram wymaga od swoich użytkowników hasła zawierającego jedynie sześciu znaków w nieskomplikowanym ciągu. Wiele osób wybiera najprostszy zestaw „123456”, co oczywiście naraża ich na atak.
Podobna podatność dotyczyła panelu do logowania się na stronie internetowej Instagram.
Facebook naprawił już błędy wskazane przez eksperta, ale firma potrzebowała aż pół roku, żeby uporać się z problemem. Swinnen pierwsze zgłoszenie o podatności wysłał w grudniu 2015 r. ale kolejne kroki podejmowane przez przedsiębiorstwo nie rozwiązywały sprawy. Co gorsza, Instagram wciąż nie wprowadził dwu – stopniowej identyfikacji, co postulował ekspert. Wzmocniłoby to dostęp do kont użytkowników.
Swinnen za swoją pracę odebrał nagrodę w wysokości 5 tys. dolarów. To coraz powszechniejsza praktyka, by internetowi giganci wypłacali nagrody za wykryte podatności. Na początku miesiąca głośny był przypadek 10- latka z Helsinek, który również za znalezienie luk w Instagramie otrzymał od internetowego giganta 10 tys. dol.
Czytaj też: Strony oparte na CMS są podatne na ataki