Securitylab: уязвимость в Instagram позволяла просматривать закрытые страницы без подписки на них

Instagram исправил новую уязвимость, позволявшую любому желающему просматривать архивы публикаций и историй закрытых страниц без необходимости на них подписываться. Как пояснил обнаруживший проблему исследователь безопасности Маюр Фартаде (Mayur Fartade), «с помощью Media ID атакующий мог видеть закрытые/архивные публикации, истории, Reels и IGTV, не будучи подписанным на пользователя».
Фартаде уведомил об уязвимости команду безопасности Facebook 16 апреля 2021 года, и она выпустила исправление 15 июня. В рамках программы выплаты вознаграждений исследователь получил $30 тыс.
Хотя для осуществления атаки злоумышленник должен знать Media ID, связанный с фотографией, видео или альбомом, Фартаде продемонстрировал, как с помощью брутфорса идентификаторов создать POST-запрос к конечной точке GraphQL и получить чувствительные данные.
В результате эксплуатации уязвимости такие соответствующие Media ID данные, как «лайки», комментарии, «сохраненное», display_url и image.uri, можно было извлечь даже без подписки на атакуемого пользователя. Кроме того, атакующий мог узнать связанную с атакуемой учетной записью страницу в Facebook.