Un “cacciatore di bug” è stato premiato da Facebook con 30.000 dollari per aver trovato una debolezza di Instagram che permetteva di avere il controllo sui contenuti pubblicati o archiviati da un utente non seguito con la possibilità di spiare alcuni dati, creare profili falsi o diffondere i media.
La debolezza è stata scoperta da Mayur Fartade che, nella sua pagina Medium, si presenta molto formalmente e dice che questo è stato il primo bug scoperto e segnalato al programma bounty di Facebook.
Come sappiamo un “bug bounty program” è un accordo proposto da numerosi siti internet, piattaforme e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi alle vulnerabilità.
Si poteva accedere a tutti i contenuti di un utente Instagram non seguito. Anche a quelli archiviati
Fartade ha detto a Facebook di aver scoperto che dopo aver ottenuto l’identificativo dei media (media_id) pubblicati su Instagram con un attacco di forza bruta, si aveva la libertà di spulciare alcuni dati relativi a un utente anche non seguito sul social; e non solo. Per “media”, in questo caso, si intende proprio tutto: quindi post sul social, Storie, Reel e IGTV.
Attraverso il media_id l’eventuale malintenzionato avrebbe potuto vedere alcuni dettagli dei contenuti, anche se questi erano stati archiviati, come per esempio i like, tutti i commenti, il salvataggio tra i preferiti, la pagina collegata a Facebook, se questa era presente.
Inoltre comparivano anche gli indirizzi dei contenuti, grazie ai quali il malintenzionato avrebbe potuto costruire una CDN basata sui media dell’utente e con la quale si sarebbero potuto creare anche profili fasi o distribuire i contenuti con più facilità. Fartade ha poi scoperto che si poteva avere l’accesso ai media anche con un endpoint del token di acesso doc_id
Al di là di poter spiare nei contenuti di un utente che non si segue, la possibilità di accedere anche ai media archiviati avrebbe potuto condurre a ricatti proprio per quei contenuti che per qualche motivo non si volevano mostrare più.
Per il suo sforzo e per il risultato ottenuto, Facebook ha premiato Fartade con 30.000 dollari. La vulnerabilità è stata chiusa.
Fonte: DDay
