Además de exponer la página de Facebook vinculada a una cuenta de Instagram
Instagram ha corregido una nueva falla que permitía a cualquiera ver publicaciones archivadas e historias publicadas por cuentas privadas sin tener que seguirlas.
"Este error podría haber permitido a un usuario malintencionado ver medios específicos en Instagram", dijo ayer Mayur Fartade en una publicación de Medium. "Un atacante podría haber podido ver detalles de publicaciones privadas/archivadas, historias, carretes, IGTV sin seguir al usuario usando el ID de medios".
Fartade reveló el problema al equipo de seguridad de Facebook el 16 de abril de 2021, luego de lo cual se corrigió la deficiencia el 15 de junio. También recibió $ 30.000 como parte del programa de recompensas por errores de la compañía.
Aunque el ataque requiere conocer el ID de medios asociado con una imagen, vídeo o álbum, mediante la fuerza bruta de los identificadores, Fartade demostró que era posible crear una solicitud POST a un punto final GraphQL y recuperar datos confidenciales.
Como consecuencia de la falla, detalles como me gusta/comentario/guardar recuento, display_url e image.uri correspondientes a la identificación del medio podrían extraerse incluso sin seguir al usuario objetivo, además de exponer la página de Facebook vinculada a una cuenta de Instagram.
Fartade dijo que también descubrió un segundo punto final el 23 de abril que reveló el mismo conjunto de información. Desde entonces, Facebook ha abordado ambos puntos finales con parches.
