Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 19 Giugno 2021 06:30
Secondo un post sul blog di Medium scritto martedì dal cacciatore di taglie Mayur Fartade, una serie di endpoint vulnerabili nell’app di Instagram avrebbero potuto consentire agli aggressori di visualizzare i media privati sulla piattaforma senza essere un “follower” di uno specifico account.
Ciò includeva post, storie e contenuti privati archiviati.
Se un utente malintenzionato riesce ad ottenere un ID di un utente Instagram, tramite la forza bruta o con altri mezzi, potrebbe inviare una richiesta POST all’endpoint GraphQL di Instagram, che restituirà gli URL di visualizzazione e gli URL delle immagini, insieme ad informazioni come il conteggi dei like e dei salvataggi dei post.
È stato inoltre rilevato un ulteriore endpoint vulnerabile che ha esposto le stesse informazioni.
In entrambi i casi, un malintenzionato potrebbe estrarre dati sensibili riguardanti un account privato senza essere un follower, caratteristica di Instagram pensata per tutelare la privacy degli utenti. Inoltre, gli endpoint potrebbero essere utilizzati per estrarre gli indirizzi delle pagine Facebook collegate agli account Instagram.
Fartade ha riportato le sue scoperte per il primo endpoint attraverso il programma Facebook Bug bounty il 16 aprile. Il team di sicurezza di Facebook ha quindi risposto il 19 aprile con una richiesta di ulteriori informazioni, inclusi i passaggi per la riproduzione.
Facebook ha corretto gli endpoint vulnerabili il 29 aprile, tuttavia, Fartade afferma che era necessaria un’ulteriore correzione per risolvere completamente il problema di sicurezza.
Il15 giugno è stato assegnato un premio del valore di 30.000$ al cacciatore di bug attraverso il programma di Facebook. Il gigante dei social media ha ringraziato il ricercatore per il suo rapporto.
Domanda: ma 30.000 dollari, è un prezzo corretto per una vulnerabilità di questo genere?
Le vostre risposte sui social.
RedazioneDal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
Le spie informatiche cinesi sono rimaste nascoste per anni nelle reti di organizzazioni critiche, infettando le infrastrutture con malware sofisticati e rubando dati, avvertono agenzie governative ed ...
Nove mesi dopo la sua implementazione in Europa, lo strumento di intelligenza artificiale (IA) conversazionale di Meta, integrato direttamente in WhatsApp, sarà oggetto di indagine da parte della Com...
