Lổ hổng trên Instagram cho phép xem tài khoản riêng tư mà không cần theo dõi

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi ToanDV, 16/06/21, 09:06 AM.

  1. ToanDV

    ToanDV Moderator Thành viên BQT

    Tham gia: 02/02/21, 09:02 AM
    Bài viết: 35
    Đã được thích: 7
    Điểm thành tích:
    8
    Mới đây Instagram đã vá một lỗ hổng gây ra việc những người không bấm follow tài khoản thiết lập chế độ riêng tư (private) mà vẫn xem được các bài đăng ẩn cùng story instagram.

    image (1).png

    Mayur Fartade cho biết trong một bài đăng mới đây trên Medium: "Những kẻ tấn công trên Instagram có thể xem được các bài đăng, story, reels, IGTV ẩn mà không cần theo dõi người dùng bằng Media ID".

    Lỗi được vá vào ngày 15 tháng 06 sau khi Fartade đã tiết lộ với nhóm bảo mật của Facebook vào ngày 16 tháng 04 và phần thưởng cho anh chàng là 30.000$.

    upload_2021-6-16_8-57-25.jpeg
    Mặc dù cuộc tấn công yêu cầu ID phương tiện được liên kết với hình ảnh, video hoặc album bằng "brute-force" các số định danh, Fartade đã chứng minh có thể tạo một yêu cầu POST tới một điểm cuối GraphQL và truy xuất dữ liệu nhạy cảm. Do đó, các chi tiết như số lượt thích, bình luận, lượt saved, display_url và image.uri tương ứng với ID có thể được trích xuất ngay cả khi không theo dõi tài khoản người dùng, đồng thời cũng sẽ rò rỉ cả tài khoản Facebook liên kết với tài khoản Instagram.

    Fartade cũng phát hiện ra điểm cuối thứ hai vào ngày 23 tháng 04 tiết lộ cùng một bộ thông tin, Facebook đã xử lý hai điểm cuối bị rò rỉ này.
     
    Last edited by a moderator: 16/06/21, 01:06 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat News #ID:2018
  2. WhiteHat News #ID:2018
  3. WhiteHat News #ID:2112
  4. WhiteHat News #ID:2018
  5. WhiteHat News #ID:2017
Tags: