NOTÍCIAS

[ANONYMOUS][grids]

Instagram‌ ‌Bug permite que qualquer pessoa visualize contas privadas sem segui-las

 


O Instagram corrigiu uma nova falha que permitia a qualquer pessoa ver postagens arquivadas e histórias postadas por contas privadas sem ter que segui-las.


"Este erro poderia ter permitido que um usuário malicioso para ver mídia direcionados no Instagram," Mayur Fartade disse em um post Médio hoje. "Um invasor poderia ser capaz de ver detalhes de postagens privadas / arquivadas, histórias, bobinas e IGTV sem seguir o usuário usando o ID de mídia."


Fartade revelou o problema à equipe de segurança do Facebook em 16 de abril de 2021, após o que a falha foi corrigida em 15 de junho. Ele também recebeu US $ 30.000 como parte do programa de recompensa de bugs da empresa.



Embora o ataque exija o conhecimento do ID de mídia associado a uma imagem, vídeo ou álbum, por força bruta dos identificadores, Fartade demonstrou que era possível criar uma solicitação POST para um endpoint GraphQL e recuperar dados confidenciais.

Como consequência da falha, detalhes como / comment / save count, display_url e image.uri correspondentes ao ID de mídia podem ser extraídos mesmo sem seguir o usuário-alvo, além de expor a página do Facebook vinculada a uma conta do Instagram.

Fartade disse que também descobriu um segundo endpoint em 23 de abril, que revelou o mesmo conjunto de informações. Desde então, o Facebook abordou ambos os endpoints com vazamento.