Lỗ hổng Instagram cho phép bất kỳ ai xem tài khoản riêng tư mà không cần theo dõi
Lỗ hổng Instagram mới cho phép bất kỳ ai cũng có thể xem các bài viết và story được đăng bởi các tài khoản riêng tư mà không cần phải theo dõi tài khoản đó.
Lỗ hổng Instagram giúp người khác xem bài viết có q
“Lỗ hổng Instagram này có thể cho phép kẻ tấn công có thể xem ảnh, video, story của tài khoản đang bật chế độ riêng tư “, Mayur Fartade cho biết trong một bài đăng trên Medium. “Kẻ tấn công có thể xem chi tiết các bài post, story, video, reels riêng tư mà không cần theo dõi người dùng đó bằng Media ID.”
Mặc dù cuộc tấn công yêu cầu biết ID bài viết được liên kết với hình ảnh, video hoặc album, bằng cách brute-force. Nhưng Fartade đã chứng minh rằng có thể tạo một request POST tới endpoint GraphQL và truy xuất dữ liệu nhạy cảm.
Do lỗi này nên các thông tin như số lượt thích /bình luận /lưu, display_url và image.uri tương ứng với media ID đều có thể được trích xuất ngay cả khi không theo dõi người dùng, đồng thời để lộ trang Facebook được liên kết với tài khoản Instagram.
Fartade cho biết ông cũng đã phát hiện ra endpoint thứ hai vào ngày 23 tháng 4 làm lộ cùng một kiểu thông tin như trên. Facebook cũng đã phát hiện rất nhanh và giải quyết cả hai endpoint bị rò rỉ.
Fartade đã báo cáo lỗ hổng Instagram này với nhóm bảo mật của Facebook vào ngày 16 tháng 4 năm 2021, sau đó, lỗ hổng này đã được vá vào ngày 15 tháng 6. Fartade cũng được thưởng 30.000 đô la như một phần của chương trình bug bounty của công ty.
Đây không phải là lần đầu Instagram bị phát hiển lỗ hổng và rò rỉ dữ liệu. Vào năm 2019, Instagram cũng để rò rỉ hơn 49 triệu thông tin cá nhân của người dùng, đa phần là người nổi tiếng. Ngoài ra, bạn cũng có thể tắt bình luận trên Instagram tại đây.
