Facebook har tildelt $ 30 000 til en forsker for å rapportere sårbarheter i Instagrams personvernfunksjoner.
I følge et Medium-blogginnlegg skrevet av bugbounty hunter Mayur Fartade tirsdag, kunne et sett med sårbare endepunkter i Instagram-appen ha tillatt angripere å se private medier på plattformen uten å følge en målkonto.
Dette inkluderte private og arkiverte innlegg, historier og hjul.
Hvis en angriper oppnår en målbrukerens medie-ID, via brute-force eller på andre måter, kan de sende en POST-forespørsel til Instagrams GraphQL-endepunkt, som avslører visnings-URL-er og bilde-URL-er, sammen med poster inkludert og lagre tellinger.
Et ytterligere sårbart endepunkt ble også funnet som avslørte den samme informasjonen.
I begge tilfeller kan en angriper trekke ut sensitive data om en privat konto uten å bli akseptert som følger, en funksjon på Instagram som er designet for å beskytte brukernes privatliv. I tillegg kan sluttpunktene brukes til å trekke ut adressene til Facebook-sider som er koblet til Instagram-kontoer.
Fartade rapporterte sine funn for det første endepunktet gjennom Facebook Bug bounty-programmet 16. april. Facebooks sikkerhetsteam svarte deretter 19. april med en forespørsel om ytterligere informasjon, inkludert trinn for reproduksjon.
Innen 22. april hadde rapporten om bug-dusørjegeren blitt triaged, og en dag senere fant Fartade og informerte Facebook om det andre utette endepunktet.
Facebook lappet opp de sårbare endepunktene 29. april, men Fartade sier at det måtte kreves en ytterligere løsning for å løse sikkerhetsproblemet.
En økonomisk belønning verdt $ 30 000 ble tildelt innen 15. juni, bug bounty hunter's first through Facebook's program. Sosiale mediegiganter takket forskeren for rapporten.
ZDNet har nådd ut til Facebook, og vi vil oppdatere når vi hører tilbake.
Tidligere og relatert dekning
Feilmasse: Flere hackere oppdager sårbarheter på tvers av nett, mobil og IoT
Google betalte 6,7 millioner dollar til bugpremierjegere i 2020
Microsoft Teams har nå sin egen bug bounties for forskere som kan oppdage sikkerhetsfeil
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 