Instagram hacking: 30.000$ per i contenuti privati, è una giusta taglia?

Secondo un post sul blog di Medium scritto martedì dal cacciatore di taglie Mayur Fartade, una serie di endpoint vulnerabili nell’app di Instagram avrebbero potuto consentire agli aggressori di visualizzare i media privati ​​sulla piattaforma senza essere un “follower” di uno specifico account.

Ciò includeva post, storie e contenuti privati ​​archiviati.

Se un utente malintenzionato riesce ad ottenere un ID di un utente Instagram, tramite la forza bruta o con altri mezzi, potrebbe inviare una richiesta POST all’endpoint GraphQL di Instagram, che restituirà gli URL di visualizzazione e gli URL delle immagini, insieme ad informazioni come il conteggi dei like e dei salvataggi dei post.

È stato inoltre rilevato un ulteriore endpoint vulnerabile che ha esposto le stesse informazioni.

In entrambi i casi, un malintenzionato potrebbe estrarre dati sensibili riguardanti un account privato senza essere un follower, caratteristica di Instagram pensata per tutelare la privacy degli utenti. Inoltre, gli endpoint potrebbero essere utilizzati per estrarre gli indirizzi delle pagine Facebook collegate agli account Instagram.

Fartade ha riportato le sue scoperte per il primo endpoint attraverso il programma Facebook Bug bounty il 16 aprile. Il team di sicurezza di Facebook ha quindi risposto il 19 aprile con una richiesta di ulteriori informazioni, inclusi i passaggi per la riproduzione.

Facebook ha corretto gli endpoint vulnerabili il 29 aprile, tuttavia, Fartade afferma che era necessaria un’ulteriore correzione per risolvere completamente il problema di sicurezza.

Il15 giugno è stato assegnato un premio del valore di 30.000$ al cacciatore di bug attraverso il programma di Facebook. Il gigante dei social media ha ringraziato il ricercatore per il suo rapporto.

Domanda: ma 30.000 dollari, è un prezzo corretto per una vulnerabilità di questo genere?

Le vostre risposte sui social.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Manuel Roccon

Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Aree di competenza: Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication