Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La scoperta è avvenuta casualmente: navigando sulla versione web mobile di Instagram, Jatin Banga ha notato che i contenuti di alcuni profili privati erano visibili senza alcuna autorizzazione.
Analizzando il traffico dati, ha individuato la causa in una vulnerabilità del backend: inviando una semplice richiesta GET non autenticata a un profilo privato, il server restituiva un file HTML contenente un oggetto JSON chiamato polaris_timeline_connection.
Questo oggetto includeva i link diretti alla CDN di Instagram, permettendo di visualizzare foto e video a piena risoluzione. Il problema non riguardava la cache, ma un fallimento critico del server nel verificare i permessi di accesso prima di inviare i dati sensibili nel codice della pagina.
Banga ha condotto test mirati su account di sua proprietà o di persone che avevano fornito il consenso, scoprendo che la vulnerabilità era intermittente.
Non tutti i profili privati erano esposti: il bug si manifestava solo quando l’account si trovava in uno stato del server “anomalo”, rendendo la falla difficile da individuare ma estremamente pericolosa.
Il 12 ottobre 2025, Banga ha inviato un report dettagliato al programma Bug Bounty di Meta, allegando script in Python e prove video. Nonostante la documentazione, Meta ha inizialmente faticato a riprodurre il bug, chiudendo la segnalazione.
Banga ha dovuto insistere, fornendo ulteriori log di rete e dimostrando che il problema risiedeva nel controllo delle autorizzazioni lato server e non in comportamenti previsti dell’applicazione.
Il 16 ottobre 2025, Banga ha verificato che il bug era stato risolto: le richieste GET non restituivano più i dati privati. Tuttavia, Meta ha gestito il caso con poca trasparenza. Solo l’11 novembre, l’azienda ha risposto ufficialmente dichiarando il bug “Non Riproducibile” e chiudendo il report come “Non Applicabile” (negando quindi il premio economico).
La risposta di Meta: “Il fatto che un problema non riproducibile sia stato risolto non cambia il fatto che non fosse riproducibile al momento. Anche se il problema fosse riproducibile, è possibile che sia stata apportata una modifica per risolvere un problema diverso e che questo problema sia stato risolto come effetto collaterale indesiderato.”
Meta ha attribuito la scomparsa del bug a generiche “modifiche infrastrutturali”, ignorando le prove fornite dal ricercatore. Banga ha quindi reso pubblica la vicenda per sottolineare i rischi legati ai “bug condizionali” e criticare la gestione della sicurezza da parte di piattaforme che ospitano i dati sensibili di miliardi di persone.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]