Το Instagram έχει επιδιορθώσει ένα ελάττωμα που επιτρέπει σε οποιονδήποτε να βλέπει αρχειοθετημένες αναρτήσεις και ιστορίες που δημοσιεύονται από ιδιωτικούς λογαριασμούς χωρίς να χρειάζεται να τις ακολουθήσει.
“Αυτό το σφάλμα θα μπορούσε να επιτρέψει σε έναν κακόβουλο χρήστη να βλέπει στοχευμένα μέσα στο Instagram”, δήλωσε σήμερα ο Mayur Fartade σε ένα Medium post. “Ένας εισβολέας θα μπορούσε να δει λεπτομέρειες για ιδιωτικές / αρχειοθετημένες αναρτήσεις, ιστορίες, IGTV χωρίς να ακολουθήσει τον χρήστη χρησιμοποιώντας το Αναγνωριστικό μέσων.”
Ο Fartade αποκάλυψε το ζήτημα στην ομάδα ασφαλείας του Facebook στις 16 Απριλίου 2021, που επιδιορθώθηκε τελικά στις 15 Ιουνίου. Του απονεμήθηκε επίσης 30.000 $ ως μέρος του προγράμματος bug bounty της εταιρείας.
Παρόλο που η επίθεση απαιτεί να γνωρίζουμε το αναγνωριστικό πολυμέσων που σχετίζεται με μια εικόνα, βίντεο ή άλμπουμ, με βίαιο εξαναγκασμό των αναγνωριστικών, ο Fartade απέδειξε ότι ήταν δυνατό να δημιουργηθεί ένα αίτημα POST σε ένα τελικό σημείο GraphQL και να ανακτηθούν τα ευαίσθητα δεδομένα.
Ως συνέπεια του ελαττώματος, λεπτομέρειες όπως like / comment / save count, display_url και image.uri που αντιστοιχούν στο αναγνωριστικό πολυμέσων θα μπορούσαν να εξαχθούν ακόμη και χωρίς να ακολουθήσουν τον στοχευμένο χρήστη, παράλληλα με την έκθεση της σελίδας Facebook που είναι συνδεδεμένη με έναν λογαριασμό Instagram.
Ο Fartade είπε ότι ανακάλυψε επίσης ένα δεύτερο τελικό σημείο στις 23 Απριλίου που αποκάλυψε το ίδιο σύνολο πληροφοριών. Το Facebook έχει από τότε αντιμετωπίσει και τις δύο διαρροές.
[signoff]
