Instagram corrigió una nueva falla que permitía a cualquier persona ver publicaciones archivadas e historias publicadas por cuentas privadas sin tener que seguirlas.

«Este error podría haber permitido que un usuario malintencionado vea medios específicos en Instagram», dijo hoy el investigador de seguridad Mayur Fartade en una publicación de Medium. «Un atacante podría haber podido ver detalles de publicaciones, historias, carretes, IGTV privados / archivados sin seguir al usuario usando Media ID».

Fartade reveló el problema al equipo de seguridad de Facebook el 16 de abril de 2021, luego de lo cual la deficiencia se solucionó el 15 de junio. También recibió $ 30,000 como parte del programa de recompensas por errores de la compañía.

Aunque el ataque requiere conocer la identificación de medios asociada con una imagen, video o álbum, mediante la fuerza bruta de los identificadores, Fartade demostró que era posible crear una solicitud POST a un punto final de GraphQL y recuperar datos confidenciales.

Como consecuencia de la falla, los detalles como me gusta/comentario/recuento guardado, display_url e image.uri correspondientes a la ID de medios podrían extraerse incluso sin seguir al usuario objetivo, además de exponer la página de Facebook vinculada a una cuenta de Instagram.

Fartade dijo que también descubrió un segundo punto final el 23 de abril que reveló el mismo conjunto de información. Desde entonces, Facebook ha abordado ambos puntos finales con fugas.