Facebook ha premiato con 30.000$ un ricercatore che ha segnalato vulnerabilità che riguardavano funzionalità legate alla privacy di Instagram. Stando a quanto riportato in un post su Medium, le vulnerabilità sono state segnalate dal ricercatore Mayur Fartade e permettevano a un attacker di visualizzare dati privati senza bisogno di seguire l’account target. Tra i dati che era possibile ottenere, post privati e archiviati, stories e reels.
Dal punto di vista tecnico, ottenendo accesso al Media ID di un utente-target era possibile con attacchi di forza bruta o altri ancora, inviare una richiesta POST all’endpoint GraphQL, permettendo di visualizzare URL e URL delle immagini, insieme a record relativi ad esempio ai like. Una diversa vulnerabilità permetteva di avere accesso agli stessi dati.
In tutti e due i casi l’attacker poteva estrapolare informazioni sensibili di un account privato senza bisogno di essere follower. Per impostazione predefinita, lo ricordiamo, chiunque può vedere il nostro profilo e i nostri post su Instagram. È possibile rendere il proprio account privato in modo che i contenuti che condividiamo siano visibili solo ai follower “approvati”. Se il nostro account è privato, solo i follower approvati vedranno le nostre foto o i video sulle pagine delle sedi o degli hashtag.
Mayur Fartade ha riportato il problema riscontrato mediante il Bug bounty di Facebook, programma che (a esclusiva discrezione di Facebook) consente di ottenere ricompense monetarie per segnalazioni tenendo conto di rischio, impatto e altri fattori.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.