Facebook заплатила 30 000 за уязвимость, позволявшую читать приватные посты в Instagram

Исследователь Маюр Фартаде (Mayur Fartade) рассказал, что заработал 30 000 долларов через официальную bug bounty программу Facebook, так как в апреле 2021 года обнаружил серьезную уязвимость в Instagram.

В своем блоге специалист объясняет, что баг позволял просматривать архивные сообщения и истории, опубликованные закрытыми учетными записями, без необходимости на них подписываться.

«С помощью Media ID злоумышленник мог видеть любые закрытые и архивные посты, истории, ролики, IGTV, не подписываясь на пользователя», — пишет Фартаде.

Хотя для реализации атаки нужно знать Media ID, связанный с конкретным изображением, видео и так далее, подобрать идентификатор можно посредством простого брутфорса, что и продемонстрировал эксперт. По сути, остается сформировать запрос POST к эндпоинту GraphQL и получать конфиденциальные данные. Такие детали, как количество лайков, комментариев, сохранений, display_url и image.uri, соответствующие ID, могли быть извлечены даже без подписки на целевого пользователя, наряду с Facebook Page, связанной с этой учетной записью Instagram.

Эксперт сообщил о проблеме разработчикам Facebook 16 апреля 2021 года, 15 июня 2021 года недостаток был исправлен.

БЕЛТА+

Добавить комментарий