اینستاگرام بتازگی یک نقص جدید را اصلاح کرده است که به هر شخص امکان میدهد پستهای بایگانی شده و استوریهای ارسال شده توسط حسابهای خصوصی(Private) را بدون نیاز به دنبال کردن آنها مشاهده کند.
Fartade این موضوع را در تاریخ ۱۶ آوریل ۲۰۲۱ به تیم امنیتی فیسبوک گزارش کرد و به دنبال آن نقص در ۱۵ ژوئن برطرف شد. وی همچنین به عنوان بخشی از Bug Bounty شرکت، ۳۰،۰۰۰ دلار جایزه دریافت کرد.
اگرچه این حمله مستلزم دانستن ID پستی مرتبط با یک تصویر، ویدئو یا آلبوم است، اما Fartade نشان داد که امکان ساخت و ارسال درخواست POST به GraphQL endpoint و بازیابی اطلاعات حساس وجود دارد.
با استفاده از این نقص جزئیاتی از قبیل like/comment/ save count ،display_url و image.uri مربوط به شناسه رسانه را میتوان حتی بدون دنبال کردن کاربر مورد نظر از یک حساب Instagram استخراج کرد.
یک نظر