O Instagram corrigiu, nesta terça-feira (15), uma vulnerabilidade que permitia que qualquer pessoa visse publicações arquivadas além de stories postados de contas privadas, sem a necessidade de ser um seguidor desses perfis privados.
- Exclusivo: pesquisadores descobrem falha que permite envio de spam em massa no LinkedIn
- CEO do Signal encontra vulnerabilidades críticas em solução forense da Cellebrite
- Exclusivo: hacker revela como foi identificar brechas no sistema da Fiocruz
A falha foi identificada no dia 16 de abril, pelo pesquisador de segurança da informação Mayur Fartade, através do programa de bug bounty da HackerOne. Como informa Fartade, o Facebook recompensou o pesquisador com U$ 30 mil (R$ 152 mil), pela descoberta da falha.
"Esse bug pode ter permitido que um usuário mal-intencionado visse a mídia direcionada no Instagram. Um invasor poderia ser capaz de ver detalhes de postagens privadas ou arquivadas, stories, reels e IGTV sem seguir o usuário usando o ID da mídia. Os detalhes incluem curtir, comentar, salvar contagem, display_url, image.uri, página vinculada do Facebook (se houver) e outros", escreveu Fartade, em uma publicação em sua página do Medium,
De acordo com Fartade, embora fosse necessário ter acesso, previamente, ao ID da mídia privada ou arquivada (o que pode ser conseguido de forma automatizada com scripts de força bruta), era possível acessar esses conteúdos (privados ou arquivados) mesmo sem seguir a vítima.
O processo de como era possível realizar essa operação foi detalhado pelo pesquisador, em sua publicação, no Medium.
Fonte: Mayur Fartade.