Facebook heeft $ 30.000 toegekend aan een onderzoeker voor het melden van kwetsbaarheden in de privacyfuncties van Instagram.
Volgens een Medium blogpost die dinsdag is geschreven door bug bounty hunter Mayur Fartade, had een reeks kwetsbare eindpunten in de Instagram-app aanvallers in staat kunnen stellen om privémedia op het platform te bekijken zonder een doelaccount te volgen.
Dit omvatte privé- en gearchiveerde berichten, verhalen en rollen.
Als een aanvaller de media-ID van een doelgebruiker verkrijgt, via brute-force of op een andere manier, kunnen ze een POST-verzoek sturen naar het GraphQL-eindpunt van Instagram, dat zichtbare URL's en afbeeldings-URL's blootlegt, naast records zoals zoals en bespaar tellingen.
Er werd ook een ander kwetsbaar eindpunt gevonden dat dezelfde informatie blootlegde.
In beide gevallen kan een aanvaller gevoelige gegevens over een privéaccount extraheren zonder als volger te worden geaccepteerd, een functie van Instagram die is ontworpen om de privacy van gebruikers te beschermen. Bovendien zouden de eindpunten kunnen worden gebruikt om de adressen te extraheren van Facebook-pagina's die zijn gekoppeld aan Instagram-accounts.
Fartade rapporteerde zijn bevindingen voor het eerste eindpunt via het Facebook Bug bounty-programma op 16 april. Het beveiligingsteam van Facebook reageerde vervolgens op 19 april met een verzoek om meer informatie, inclusief stappen voor reproductie.
Op 22 april was het rapport van de bug bounty hunter beoordeeld en een dag later vond Fartade Facebook en informeerde Facebook over het tweede lekkende eindpunt.
Facebook heeft de kwetsbare eindpunten op 29 april gepatcht, maar Fartade zegt dat er een verdere oplossing nodig was om het beveiligingsprobleem volledig op te lossen.
Op 15 juni werd een financiële beloning ter waarde van $ 30.000 toegekend, de eerste via het programma van Facebook. De socialemediagigant bedankte de onderzoeker voor zijn rapport.
ZDNet heeft contact opgenomen met Facebook en we zullen updaten wanneer we iets horen.
Eerdere en gerelateerde berichtgeving
Bug bounties: meer hackers ontdekken kwetsbaarheden op internet, mobiel en IoT
Google betaalde $ 6,7 miljoen aan bug bounty hunters in 2020
Microsoft Teams heeft nu zijn eigen bug bounties voor onderzoekers die beveiligingsfouten kunnen ontdekken
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 