Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Secondo un post sul blog di Medium scritto martedì dal cacciatore di taglie Mayur Fartade, una serie di endpoint vulnerabili nell’app di Instagram avrebbero potuto consentire agli aggressori di visualizzare i media privati sulla piattaforma senza essere un “follower” di uno specifico account.
Ciò includeva post, storie e contenuti privati archiviati.
Se un utente malintenzionato riesce ad ottenere un ID di un utente Instagram, tramite la forza bruta o con altri mezzi, potrebbe inviare una richiesta POST all’endpoint GraphQL di Instagram, che restituirà gli URL di visualizzazione e gli URL delle immagini, insieme ad informazioni come il conteggi dei like e dei salvataggi dei post.
È stato inoltre rilevato un ulteriore endpoint vulnerabile che ha esposto le stesse informazioni.
In entrambi i casi, un malintenzionato potrebbe estrarre dati sensibili riguardanti un account privato senza essere un follower, caratteristica di Instagram pensata per tutelare la privacy degli utenti. Inoltre, gli endpoint potrebbero essere utilizzati per estrarre gli indirizzi delle pagine Facebook collegate agli account Instagram.
Fartade ha riportato le sue scoperte per il primo endpoint attraverso il programma Facebook Bug bounty il 16 aprile. Il team di sicurezza di Facebook ha quindi risposto il 19 aprile con una richiesta di ulteriori informazioni, inclusi i passaggi per la riproduzione.
Facebook ha corretto gli endpoint vulnerabili il 29 aprile, tuttavia, Fartade afferma che era necessaria un’ulteriore correzione per risolvere completamente il problema di sicurezza.
Il15 giugno è stato assegnato un premio del valore di 30.000$ al cacciatore di bug attraverso il programma di Facebook. Il gigante dei social media ha ringraziato il ricercatore per il suo rapporto.
Domanda: ma 30.000 dollari, è un prezzo corretto per una vulnerabilità di questo genere?
Le vostre risposte sui social.
