Instagram: błąd pozwalał na sprawdzanie zawartości prywatnych kont
Popularna platforma do publikowania zdjęć miała poważną lukę, która pozwalała dowolnej osobie na przeglądanie zarchiwizowanych postów i historii publikowanych przez prywatne konta. Błąd został już naprawiony, a osoba, która go znalazła, została hojnie nagrodzona.
Zgodnie z informacjami The Hacker News, luka w Instagramie umożliwiała przeglądanie ukierunkowanych mediów przez osoby, które nie były do tego upoważnione. Zgodnie z ustawieniami platformy, każda osoba może ustawić swoje konto jako prywatne, a wtedy jej posty nie powinny być widoczne dla osób spoza grona znajomych.
Za znalezienie problemu odpowiedzialny jest indyjski deweloper Mayur Fartade. Na swoim Medium opisał szczegółowo jak luka mogła pozwolić potencjalnemu napastnikowi uzyskać adres URL zarchiwizowanych artykułów i postów. Poprzez wymuszenie identyfikatorów, nieuczciwy użytkownik Instagrama był w stanie sprawdzić szczegóły konkretnych opublikowanych zdjęć czy stories. Mając te dane, możliwe było wyodrębnienie prywatnych wpisów.
Fartade ujawnił problem zespołowi ds. bezpieczeństwa Facebooka dwa miesiące temu, dzięki czemu możliwe było znalezienie rozwiązania problemu. Platformie udało się zablokować możliwość nieuczciwego pozyskiwania danych 15 czerwca.
Za odnalezienie problemów w działaniu Instagrama, Mayur Fartade został nagrodzony przez Facebook. Firma zdecydowała się zapłacić mu 30 tysięcy dolarów w ramach programu bug bounty.
