Greška na Instagramu otkrivala imejl adrese i brojeve telefona korisnika

Društvene mreže, 08.06.2026, 10:00 AM

Kritična logička greška u veb verziji Instagramovog procesa za oporavak naloga 6. juna je otkrila pune imejl adrese i brojeve telefona povezane sa korisničkim nalozima, uključujući i naloge poznatih ličnosti među kojima je bio i izvršni direktor Mete Mark Zakerberg.

Meta je u roku od nekoliko sati otklonila bezbednosni propust, ali ne pre nego što su snimci ekrana koji prikazuju ranjivost počeli da kruže društvenim mrežama.

Problem je otkriven 6. juna 2026. godine u Instagramovom veb interfejsu za resetovanje lozinke, kada je umesto delimično prikrivenih podataka za oporavak, kakve Instagram uobičajeno prikazuje korisnicima (npr. m***@fb.com), sistem u pojedinim slučajevima prikazivao pune imejl adrese i brojeve telefona povezane sa nalogom.

Istraživači su pokazali da je bilo dovoljno pokrenuti standardni postupak resetovanja lozinke za bilo koje korisničko ime kako bi se dobili podaci koji inače ne bi trebalo da budu vidljivi.

Među primerima objavljenim na društvenim mrežama našli su se i nalozi poznatih ličnosti, uključujući izvršnog direktora Mete Marka Zakerberga i manekenku Džordžinu Rodrigez.

Prema navodima istraživača, problem nije bio povezan sa curenjem podataka iz baza niti sa kompromitovanjem Instagram infrastrukture, već sa logičkom greškom u procesu oporavka naloga.

Meta je potvrdila da je problem otklonjen ubrzo nakon prijave i navela da nije došlo do kompromitovanja njenih sistema.

Iako kompanija tvrdi da nije zabeležena masovna krađa podataka, stručnjaci upozoravaju da čak i kratkotrajno otkrivanje imejl adresa i brojeva telefona može povećati rizik od fišing napada, SIM swap prevara i pokušaja preuzimanja naloga.

Dodatni problem predstavlja činjenica da napadači na ovaj način mogu povezati više imejl adresa sa istim korisničkim nalogom, što može olakšati mapiranje digitalnog identiteta žrtve na različitim servisima.

Meta za sada nije objavila CVE oznaku za ovaj propust.