Instagram a corrigé une nouvelle faille qui permettait à quiconque de voir les articles et les histoires archivés publiés par des comptes privés sans avoir à les suivre.

« Ce bug aurait pu permettre à un utilisateur malveillant de visualiser des médias ciblés sur Instagram », Mayur Fartade mentionné dans un post Medium aujourd’hui. « Un attaquant aurait pu voir les détails de publications, d’histoires, de bobines, d’IGTV privés/archivés sans suivre l’utilisateur à l’aide de Media ID. »

Fartade a divulgué le problème à l’équipe de sécurité de Facebook le 16 avril 2021, après quoi la lacune a été corrigée le 15 juin. Il a également reçu 30 000 $ dans le cadre du programme de primes de bogue de l’entreprise.

Bien que l’attaque nécessite de connaître l’ID média associé à une image, une vidéo ou un album, en forçant brutalement les identifiants, Fartade a démontré qu’il était possible de créer une requête POST vers un point de terminaison GraphQL et de récupérer des données sensibles.

En conséquence de la faille, des détails tels que like/comment/save count, display_url et image.uri correspondant à l’ID du média pourraient être extraits même sans suivre l’utilisateur ciblé, tout en exposant la page Facebook liée à un compte Instagram.

Fartade a déclaré qu’il avait également découvert un deuxième point final le 23 avril qui révélait le même ensemble d’informations. Facebook a depuis corrigé les deux points de terminaison qui fuient.