Банга: закрытые аккаунты Instagram показывают фото без аутентификации

Эксперт в области кибербезопасности выявил довольно серьезную уязвимость в системе Instagram*. В определенных ситуациях приватные страницы выдают фотографии пользователям без авторизации.

Речь идет о конфиденциальных учетных записях, содержимое которых должны видеть исключительно подтвержденные фолловеры. Обычно неавторизованный пользователь видит стандартное уведомление о том, что аккаунт является приватным. Как выяснилось в ходе исследования, при входе с ряда мобильных устройств сервер Instagram* (принадлежит Meta*, признанной экстремистской организацией и запрещённой на территории РФ) отправляет в HTML-ответе URL-адреса для изображений и текстовые описания к ним, маскируя их в коде страницы. Подробности привел исследователь Джатин Банга.

Он продемонстрировал, как в HTML-коде закрытых аккаунтов появляется элемент polaris_timeline_connection, содержащий зашифрованные CDN-ссылки на изображения, доступ к которым должен быть закрыт. Банга обнародовал снятое на видео подтверждение с детальным анализом.

Специалист проверил проблему только на закрытых аккаунтах и профилях, на которые у него были разрешения. Даже в ограниченной выборке около 28% профилей выдавали текстовые описания и линки на приватные фотографии. То есть это была не случайная ошибка, а повторяющаяся ситуация – при определенных обстоятельствах и параметрах запроса.