Facebook hat einem Forscher 30.000 US-Dollar für die Meldung von Sicherheitslücken in den Datenschutzfunktionen von Instagram zugesprochen.
Laut einem Medium-Blog-Post, den der Bug-Bounty-Jäger Mayur Fartade am Dienstag verfasst hat, könnte eine Reihe anfälliger Endpunkte in der Instagram-App es Angreifern ermöglicht haben, private Medien auf der Plattform anzuzeigen, ohne einem Zielkonto zu folgen.
Dazu gehörten private und archivierte Posts, Storys und Reels.
Wenn ein Angreifer die Medien-ID eines Zielbenutzers über Brute-Force oder auf andere Weise erhält, könnte er dann eine POST-Anfrage an den GraphQL-Endpunkt von Instagram senden, der Anzeige-URLs und Bild-URLs zusammen mit Datensätzen wie z und zähle speichern.
Es wurde auch ein weiterer anfälliger Endpunkt gefunden, der dieselben Informationen offengelegt hat.
In beiden Fällen könnte ein Angreifer sensible Daten eines privaten Kontos extrahieren, ohne als Follower akzeptiert zu werden, eine Funktion von Instagram, die die Privatsphäre der Benutzer schützen soll. Darüber hinaus könnten die Endpunkte verwendet werden, um die Adressen von Facebook-Seiten zu extrahieren, die mit Instagram-Konten verknüpft sind.
Fartade berichtete seine Ergebnisse für den ersten Endpunkt am 16. April über das Facebook-Bug-Bounty-Programm. Das Sicherheitsteam von Facebook antwortete dann am 19. April mit der Bitte um weitere Informationen, einschließlich der Schritte zur Reproduktion.
Bis zum 22. April wurde der Bericht des Bug-Bounty-Jägers gesichtet, und einen Tag später fand Fartade den zweiten undichten Endpunkt und informierte Facebook über ihn.
Facebook hat die verwundbaren Endpunkte am 29. April gepatcht, aber Fartade sagt, dass ein weiterer Fix erforderlich war, um das Sicherheitsproblem vollständig zu beheben.
Bis zum 15. Juni wurde eine finanzielle Belohnung in Höhe von 30.000 US-Dollar vergeben, die erste des Bug-Kopfgeldjägers über das Programm von Facebook. Der Social-Media-Riese dankte dem Forscher für seinen Bericht.
ZDNet hat sich an Facebook gewandt und wir werden es aktualisieren, wenn wir etwas hören.
Frühere und verwandte Berichterstattung
Bug Bounties: Immer mehr Hacker entdecken Schwachstellen im Web, auf Mobilgeräten und im IoT
Google zahlte 2020 6,7 Millionen US-Dollar an Bug-Bounty-Jäger
Microsoft Teams hat jetzt seine eigene Bug Bounties für Forscher, die Sicherheitslücken erkennen können
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 