Закрытые аккаунты Instagram раскрывали фото без проверки
Специалист по кибербезопасности обнаружил необычную уязвимость в Instagram (принадлежит Meta, признанной экстремистской организацией и запрещённой в РФ). Оказалось, что закрытые аккаунты в некоторых случаях «сливали» фотографии, делая их доступными даже тем, кто не прошёл аутентификацию. Контент приватных профилей должны видеть только одобренные подписчики, однако сервер иногда выдавал ссылки на изображения в HTML-коде страницы.
Исследователь Джатин Банга рассказал, что при открытии закрытых профилей с определённых мобильных устройств сервер формировал HTML-ответ, внутри которого находился объект polaris_timeline_connection. В нём были закодированы CDN-ссылки на фотографии и подписи к ним — хотя доступ к такому контенту должен быть закрыт. Банга представил видеодоказательства, подробный разбор уязвимости и переписку с Meta.
Он пояснил, что проверял проблему только на своих приватных страницах и на тех профилях, к которым имел доступ. Даже в такой выборке почти 28% аккаунтов возвращали ссылки на закрытый контент. По словам исследователя, ошибка проявлялась при определённых условиях и зависела от заголовков запроса.
Meta первоначально объяснила ситуацию ошибкой кеширования CDN, но Банга с этим не согласился и считал, что проблема связана с тем, что сервер не проверял права доступа перед формированием страницы. Он отправил уточнённый отчёт, однако спустя несколько дней обсуждения баг закрыли со статусом «неприменимо».
Рекомендуем также:
Последние новости Перми уже в твоем телефоне - подписывайся на телеграм-канал «Пермь Новости»
