Instagram hacking: 30.000$ per i contenuti privati, è una giusta taglia?

Secondo un post sul blog di Medium scritto martedì dal cacciatore di taglie Mayur Fartade, una serie di endpoint vulnerabili nell’app di Instagram avrebbero potuto consentire agli aggressori di visualizzare i media privati ​​sulla piattaforma senza essere un “follower” di uno specifico account.

Ciò includeva post, storie e contenuti privati ​​archiviati.

Se un utente malintenzionato riesce ad ottenere un ID di un utente Instagram, tramite la forza bruta o con altri mezzi, potrebbe inviare una richiesta POST all’endpoint GraphQL di Instagram, che restituirà gli URL di visualizzazione e gli URL delle immagini, insieme ad informazioni come il conteggi dei like e dei salvataggi dei post.

È stato inoltre rilevato un ulteriore endpoint vulnerabile che ha esposto le stesse informazioni.

In entrambi i casi, un malintenzionato potrebbe estrarre dati sensibili riguardanti un account privato senza essere un follower, caratteristica di Instagram pensata per tutelare la privacy degli utenti. Inoltre, gli endpoint potrebbero essere utilizzati per estrarre gli indirizzi delle pagine Facebook collegate agli account Instagram.

Fartade ha riportato le sue scoperte per il primo endpoint attraverso il programma Facebook Bug bounty il 16 aprile. Il team di sicurezza di Facebook ha quindi risposto il 19 aprile con una richiesta di ulteriori informazioni, inclusi i passaggi per la riproduzione.

Facebook ha corretto gli endpoint vulnerabili il 29 aprile, tuttavia, Fartade afferma che era necessaria un’ulteriore correzione per risolvere completamente il problema di sicurezza.

Il15 giugno è stato assegnato un premio del valore di 30.000$ al cacciatore di bug attraverso il programma di Facebook. Il gigante dei social media ha ringraziato il ricercatore per il suo rapporto.

Domanda: ma 30.000 dollari, è un prezzo corretto per una vulnerabilità di questo genere?

Le vostre risposte sui social.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.