Уязвимость в Instagram позволяла просматривать закрытые страницы без подписки на них

Instagram исправил новую уязвимость, позволявшую любому желающему просматривать архивы публикаций и историй закрытых страниц без необходимости на них подписываться. Как пояснил обнаруживший проблему исследователь безопасности Маюр Фартаде (Mayur Fartade), «с помощью Media ID атакующий мог видеть закрытые/архивные публикации, истории, Reels и IGTV, не будучи подписанным на пользователя».

Фартаде уведомил об уязвимости команду безопасности Facebook 16 апреля 2021 года, и она выпустила исправление 15 июня. В рамках программы выплаты вознаграждений исследователь получил $30 тыс.

Хотя для осуществления атаки злоумышленник должен знать Media ID, связанный с фотографией, видео или альбомом, Фартаде продемонстрировал, как с помощью брутфорса идентификаторов создать POST-запрос к конечной точке GraphQL и получить чувствительные данные.

В результате эксплуатации уязвимости такие соответствующие Media ID данные, как «лайки», комментарии, «сохраненное», display_url и image.uri, можно было извлечь даже без подписки на атакуемого пользователя. Кроме того, атакующий мог узнать связанную с атакуемой учетной записью страницу в Facebook.

23 апреля Фартаде обнаружил еще одну уязвимость, раскрывавшую тот же набор данных, и Facebook также выпустила для нее исправление.