Facebook a attribué 30 000 $ à un chercheur pour avoir signalé des vulnérabilités dans les fonctionnalités de confidentialité d'Instagram.
Selon un article de blog Medium rédigé mardi par le chasseur de primes de bogues Mayur Fartade, un ensemble de points de terminaison vulnérables dans l'application Instagram aurait pu permettre aux attaquants de visualiser des médias privés sur la plate-forme sans suivre un compte cible.
Cela incluait les publications, les histoires et les bobines privées et archivées.
Si un attaquant obtient l'ID média d'un utilisateur cible, par force brute ou par d'autres moyens, il peut alors envoyer une requête POST au point de terminaison GraphQL d'Instagram, qui expose les URL d'affichage et les URL d'image, ainsi que des enregistrements, y compris comme et enregistrer les comptes.
Un autre point de terminaison vulnérable a également été trouvé qui exposait les mêmes informations.
Dans les deux cas, un attaquant pourrait extraire des données sensibles concernant un compte privé sans être accepté comme suiveur, une fonctionnalité d'Instagram conçue pour protéger la vie privée des utilisateurs. De plus, les points de terminaison pourraient être utilisés pour extraire les adresses des pages Facebook liées aux comptes Instagram.
Fartade a fait part de ses découvertes pour le premier point de terminaison via le programme Facebook Bug Bounty le 16 avril. L'équipe de sécurité de Facebook a ensuite répondu le 19 avril avec une demande d'informations supplémentaires, y compris les étapes de reproduction.
Le 22 avril, le rapport du chasseur de primes de bogues avait été trié, et un jour plus tard, Fartade a trouvé et informé Facebook du deuxième point de terminaison qui fuit.
Facebook a corrigé les points de terminaison vulnérables le 29 avril, cependant, Fartade dit qu'un correctif supplémentaire était nécessaire pour résoudre complètement le problème de sécurité.
Une récompense financière d'une valeur de 30 000 $ a été décernée le 15 juin, la première du chasseur de primes via le programme de Facebook. Le géant des médias sociaux a remercié le chercheur pour son rapport.
ZDNet a contacté Facebook et nous mettrons à jour lorsque nous aurons une réponse.
Couverture précédente et connexe
Boug bountys : de plus en plus de pirates détectent des vulnérabilités sur le Web, les mobiles et l'IoT
Google a payé 6,7 millions de dollars aux chasseurs de bugs en 2020
propres primes de bogues pour les chercheurs qui peuvent détecter des failles de sécurité
Vous avez un conseil ? Contactez-nous en toute sécurité via WhatsApp | Signalez au +447713 025 499, ou à Keybase : charlie0
Sujets connexes :
Sécurité Gestion des données TV Centres de données CXO 