La scoperta è avvenuta casualmente: navigando sulla versione web mobile di Instagram, Jatin Banga ha notato che i contenuti di alcuni profili privati erano visibili senza alcuna autorizzazione.
Analizzando il traffico dati, ha individuato la causa in una vulnerabilità del backend: inviando una semplice richiesta GET non autenticata a un profilo privato, il server restituiva un file HTML contenente un oggetto JSON chiamato polaris_timeline_connection.
Questo oggetto includeva i link diretti alla CDN di Instagram, permettendo di visualizzare foto e video a piena risoluzione. Il problema non riguardava la cache, ma un fallimento critico del server nel verificare i permessi di accesso prima di inviare i dati sensibili nel codice della pagina.
Advertising
Testing e Interazione con Meta
Banga ha condotto test mirati su account di sua proprietà o di persone che avevano fornito il consenso, scoprendo che la vulnerabilità era intermittente.
Non tutti i profili privati erano esposti: il bug si manifestava solo quando l’account si trovava in uno stato del server “anomalo”, rendendo la falla difficile da individuare ma estremamente pericolosa.
Il 12 ottobre 2025, Banga ha inviato un report dettagliato al programma Bug Bounty di Meta, allegando script in Python e prove video. Nonostante la documentazione, Meta ha inizialmente faticato a riprodurre il bug, chiudendo la segnalazione.
Banga ha dovuto insistere, fornendo ulteriori log di rete e dimostrando che il problema risiedeva nel controllo delle autorizzazioni lato server e non in comportamenti previsti dell’applicazione.
Risoluzione “Silenziosa” e Polemiche
Il 16 ottobre 2025, Banga ha verificato che il bug era stato risolto: le richieste GET non restituivano più i dati privati. Tuttavia, Meta ha gestito il caso con poca trasparenza. Solo l’11 novembre, l’azienda ha risposto ufficialmente dichiarando il bug “Non Riproducibile” e chiudendo il report come “Non Applicabile” (negando quindi il premio economico).
Advertising
La risposta di Meta: “Il fatto che un problema non riproducibile sia stato risolto non cambia il fatto che non fosse riproducibile al momento. Anche se il problema fosse riproducibile, è possibile che sia stata apportata una modifica per risolvere un problema diverso e che questo problema sia stato risolto come effetto collaterale indesiderato.”
Meta ha attribuito la scomparsa del bug a generiche “modifiche infrastrutturali”, ignorando le prove fornite dal ricercatore. Banga ha quindi reso pubblica la vicenda per sottolineare i rischi legati ai “bug condizionali” e criticare la gestione della sicurezza da parte di piattaforme che ospitano i dati sensibili di miliardi di persone.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.