Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Secondo un post sul blog di Medium scritto martedì dal cacciatore di taglie Mayur Fartade, una serie di endpoint vulnerabili nell’app di Instagram avrebbero potuto consentire agli aggressori di visualizzare i media privati sulla piattaforma senza essere un “follower” di uno specifico account.
Ciò includeva post, storie e contenuti privati archiviati.
Se un utente malintenzionato riesce ad ottenere un ID di un utente Instagram, tramite la forza bruta o con altri mezzi, potrebbe inviare una richiesta POST all’endpoint GraphQL di Instagram, che restituirà gli URL di visualizzazione e gli URL delle immagini, insieme ad informazioni come il conteggi dei like e dei salvataggi dei post.
È stato inoltre rilevato un ulteriore endpoint vulnerabile che ha esposto le stesse informazioni.
In entrambi i casi, un malintenzionato potrebbe estrarre dati sensibili riguardanti un account privato senza essere un follower, caratteristica di Instagram pensata per tutelare la privacy degli utenti. Inoltre, gli endpoint potrebbero essere utilizzati per estrarre gli indirizzi delle pagine Facebook collegate agli account Instagram.
Fartade ha riportato le sue scoperte per il primo endpoint attraverso il programma Facebook Bug bounty il 16 aprile. Il team di sicurezza di Facebook ha quindi risposto il 19 aprile con una richiesta di ulteriori informazioni, inclusi i passaggi per la riproduzione.
Facebook ha corretto gli endpoint vulnerabili il 29 aprile, tuttavia, Fartade afferma che era necessaria un’ulteriore correzione per risolvere completamente il problema di sicurezza.
Il15 giugno è stato assegnato un premio del valore di 30.000$ al cacciatore di bug attraverso il programma di Facebook. Il gigante dei social media ha ringraziato il ricercatore per il suo rapporto.
Domanda: ma 30.000 dollari, è un prezzo corretto per una vulnerabilità di questo genere?
Le vostre risposte sui social.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Solo un anno fa, i medici non potevano dire con certezza se KJ Muldoon sarebbe sopravvissuto al suo primo anno di vita. Oggi sta muovendo i primi passi a casa, con la sua famiglia al suo fianco. Quest...
Una nuova vulnerabilità nei componenti FreeBSD responsabili della configurazione IPv6 consente l’esecuzione remota di codice arbitrario su un dispositivo situato sulla stessa rete locale dell’agg...
Dopo aver approfondito i delicati equilibri che vincolano gli operatori di Cyber Threat Intelligence(CTI) tra il GDPR e il rischio di Ricettazione, è fondamentale rivolgere l’attenzione a chiunque,...
Il mondo della tecnologia è un vero e proprio campo di battaglia, dove i geni del coding sfidano ogni giorno i malintenzionati a colpi di exploit e patch di sicurezza. Ecco perché la recente scopert...
Questa notizia ci arriva dal feed News & Research di Recorded Future (Insikt Group): Check Point Research ha documentato una nuova ondata di attività attribuita al threat actor China-linked Ink D...
