Уязвимость в Instagram позволяла просматривать закрытые страницы без подписки на них

Уязвимость в Instagram позволяла просматривать закрытые страницы без подписки на них

Alexander Antipov

Обнаруживший проблем исследователь безопасности получил $30 тыс. в рамках программы выплаты вознаграждений.

image

Instagram исправил новую уязвимость, позволявшую любому желающему просматривать архивы публикаций и историй закрытых страниц без необходимости на них подписываться. Как пояснил обнаруживший проблему исследователь безопасности Маюр Фартаде (Mayur Fartade), «с помощью Media ID атакующий мог видеть закрытые/архивные публикации, истории, Reels и IGTV, не будучи подписанным на пользователя».

Фартаде уведомил об уязвимости команду безопасности Facebook 16 апреля 2021 года, и она выпустила исправление 15 июня. В рамках программы выплаты вознаграждений исследователь получил $30 тыс.

Хотя для осуществления атаки злоумышленник должен знать Media ID, связанный с фотографией, видео или альбомом, Фартаде продемонстрировал, как с помощью брутфорса идентификаторов создать POST-запрос к конечной точке GraphQL и получить чувствительные данные.

В результате эксплуатации уязвимости такие соответствующие Media ID данные, как «лайки», комментарии, «сохраненное», display_url и image.uri, можно было извлечь даже без подписки на атакуемого пользователя. Кроме того, атакующий мог узнать связанную с атакуемой учетной записью страницу в Facebook.

23 апреля Фартаде обнаружил еще одну уязвимость, раскрывавшую тот же набор данных, и Facebook также выпустила для нее исправление.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.


Источник: Securitylab