Un bug di Instagram permetteva di accedere a contenuti privati. Facebook premia il “cacciatore” con 30.000 dollari

Un bug di Instagram permetteva di accedere a contenuti privati. Facebook premia il “cacciatore” con 30.000 dollari

Una vulnerabilità di Instagram consentiva di accedere a qualsiasi contenuto e ad alcuni dati personali di un utente non seguito, come anche la pagina Facebook collegata. Il social ha premiato con 30.000 dollari il cacciatore di taglie che ha scoperto il bug.

Un “cacciatore di bug” è stato premiato da Facebook con 30.000 dollari per aver trovato una debolezza di Instagram che permetteva di avere il controllo sui contenuti pubblicati o archiviati da un utente non seguito con la possibilità di spiare alcuni dati, creare profili falsi o diffondere i media.

La debolezza è stata scoperta da Mayur Fartade che, nella sua pagina Medium, si presenta molto formalmente e dice che questo è stato il primo bug scoperto e segnalato al programma bounty di Facebook.

Come sappiamo un “bug bounty program” è un accordo proposto da numerosi siti internet, piattaforme e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi alle vulnerabilità.

Si poteva accedere a tutti i contenuti di un utente Instagram non seguito. Anche a quelli archiviati

Fartade ha detto a Facebook di aver scoperto che dopo aver ottenuto l’identificativo dei media (media_id) pubblicati su Instagram con un attacco di forza bruta, si aveva la libertà di spulciare alcuni dati relativi a un utente anche non seguito sul social; e non solo. Per “media”, in questo caso, si intende proprio tutto: quindi post sul social, Storie, Reel e IGTV.

Attraverso il media_id l’eventuale malintenzionato avrebbe potuto vedere alcuni dettagli dei contenuti, anche se questi erano stati archiviati, come per esempio i like, tutti i commenti, il salvataggio tra i preferiti, la pagina collegata a Facebook, se questa era presente.

fonte: Mayur Fartade

Inoltre comparivano anche gli indirizzi dei contenuti, grazie ai quali il malintenzionato avrebbe potuto costruire una CDN basata sui media dell’utente e con la quale si sarebbero potuto creare anche profili fasi o distribuire i contenuti con più facilità. Fartade ha poi scoperto che si poteva avere l’accesso ai media anche con un endpoint del token di acesso doc_id

Al di là di poter spiare nei contenuti di un utente che non si segue, la possibilità di accedere anche ai media archiviati avrebbe potuto condurre a ricatti proprio per quei contenuti che per qualche motivo non si volevano mostrare più.

Per il suo sforzo e per il risultato ottenuto, Facebook ha premiato Fartade con 30.000 dollari. La vulnerabilità è stata chiusa.


Fonte: DDay