Apple stopt per direct met gebruik van Instagram hulp-app Exposure

Door: Night - 0 reacties
instagram-shot-on-iphone

Apple is gewaarschuwd voor een fout in een hulpprogramma voor Instagram, genaamd Exposure. De app helpt merken om verbinding te maken met Instagram-posters en de verzameling van overeenkomsten voor het gebruik van afbeeldingen voor commerciële doeleinden te automatiseren.

Toevallig gebruikte Apple deze tool ook voor zijn Shot on iPhone-campagne. Website 9to5Mac nam contact op met Apple om het beveiligingsprobleem te melden. Na een onderzoek, een paar uur later, verbrak Apple alle banden met de Exposure-service. Het bleek namelijk mogelijk om inzenders met persoonlijke gegevens openbaar toegankelijk te maken en het ophalen van juist die gegevens was de achilleshiel. Alle gebruikersgegevens zijn inmiddels niet langer toegankelijk.

Wat ging er fout?

In wezen is Exposure een automatiseringstool die bedrijven zoals Apple kunnen gebruiken om de verzameling van fotolicenties te versnellen. Wanneer een Apple-medewerker een afbeelding vindt die ze leuk vinden, gebruiken ze de Exposure-app om het Instagram-account een bericht te sturen met een link naar een formulier. Op het formulier kan de gebruiker contactgegevens en details van auteursrechten, die met de foto zijn verbonden, opgeven.

Door een fout in het systeem konden persoonlijke gegevens die door Apple werden verstrekt door iedereen worden opgevraagd.

formulier
Een voorbeeld van een Shot to iPhone formulier. Privédata is door 9to5Mac onherkenbaar gemaakt (klik/tap voor groter)

Bij het testen van de bug konden de gebruikersaccounts gevonden worden van Instagram-leden die door Apple waren genomineerd voor de Shot on iPhone-wedstrijd. Dit onthulde niet alleen de persoonlijke omschrijving, maar ook het e-mailadres van het account en andere metadata over de inzending.

Een voorbeeld van een Shot op iPhone-formulier dat 9to5Mac kon openen. Persoonlijke gebruikersgegevens zijn geredigeerd.

Koren op de molen van hackers

Hoewel dit misschien een relatief kleine inbreuk op gegevens is, zou een snode hacker genoeg informatie hebben gehad om met deze gegevens een ​​behoorlijk overtuigende phishingaanval op te zetten.

Omdat de gebruikers achter de accounts enthousiast zouden zijn om hun inzending verder op weg te helpen en daarover al legitieme communicatie met Apple hadden, zou men kunnen beweren dat die shortlist voor bijzonder kwetsbare doelen zorgen.

Iemand had zich in een vervalste e-mail als Apple kunnen voordoen en bijvoorbeeld om meer informatie kunnen vragen, of een link naar een nep-aanmeldingsformulier kunnen sturen waarop het Apple ID en wachtwoord gevraagd zou kunnen worden. Met de buitgemaakte wachtwoorden zou het account van de persoon worden kunnen overgenomen.

Voor alle duidelijkheid: er zijn geen aanwijzingen dat ook daadwerkelijk is gebeurd.

Exposure werkt aan een oplossing

Bronnen geven aan dat de bug met de Exposure-software is ontstaan ​​door een wijziging in de Facebook Graph API, een verandering die zich rond december heeft voorgedaan. Exposure werkt momenteel aan een fix. Ignite, het bedrijf achter de Exposure-tool, die de volgende verklaring heeft verstrekt.

Ignite Chute Solutions, Inc. (“Chute”) is het bedrijf dat eigenaar en exploitant is van de Chute-oplossing voor User Generated Content (UGC) rechtenbeheer, een tool die door Apple wordt gebruikt in hun “Shot On iPhone” campagne om de gebruiksrechten voor afbeeldingen die mensen ter overweging plaatsen bij Apple.

Op 13 februari 2019 om 10:29 uur ET is Chute zich ervan bewust geworden dat personen die het volledige inzendings- en rechtengoedkeuringsproces hebben doorlopen mogelijk informatie hebben gehad die anderen kunnen overkomen. Dit potentiële probleem was beperkt tot een klein deel van alle gebruikers die hun afbeeldingen ter overweging bij Apple hebben geplaatst. Na het probleem meteen te hebben onderzocht, heeft Chute het betreffende deel van de aanvraag om 11:32 uur ET op 13 februari 2019 afgesloten en bevat het probleem. Het geïdentificeerde probleem was in de Chute-oplossing en maakt geen deel uit van de software of systemen van Apple.

Op dit moment hebben we geen reden om aan te nemen dat alle potentieel getroffen personen hun informatie daadwerkelijk hebben blootgegeven en evenmin reden hebben om aan te nemen dat dit probleem andere personen heeft getroffen die mogelijk deelnamen aan soortgelijke campagnes met andere Chute-klanten.

We blijven de oorzaak grondig onderzoeken om maatregelen te nemen om ervoor te zorgen dat een dergelijk probleem niet opnieuw optreedt. We nemen het succes van onze klanten zeer serieus en blijven volledig toegewijd aan Apple en een van haar trouwe fans die mogelijk zijn getroffen.

Apple heeft zich desondanks gedistantieerd van de contractant en alle gegevens met betrekking tot Shot on iPhone-inzendingen zijn niet langer toegankelijk. Het is niet duidelijk of het bedrijf in de toekomst opnieuw met het bedrijf zal samenwerken.

Het beheer van de Shot on iPhone-wedstrijd wordt verder niet beïnvloed door deze bevindingen. Gebruikers waren al gecontacteerd voordat Apple de verbinding met Exposure verbrak.

Bron: 9to5Mac

Reacties

0 reacties