t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
Lổ hổng trên Instagram cho phép xem tài khoản riêng tư mà không cần theo dõi
Mới đây Instagram đã vá một lỗ hổng gây ra việc những người không bấm follow tài khoản thiết lập chế độ riêng tư (private) mà vẫn xem được các bài đăng ẩn cùng story instagram.
Mayur Fartade cho biết trong một bài đăng mới đây trên Medium: "Những kẻ tấn công trên Instagram có thể xem được các bài đăng, story, reels, IGTV ẩn mà không cần theo dõi người dùng bằng Media ID".
Lỗi được vá vào ngày 15 tháng 06 sau khi Fartade đã tiết lộ với nhóm bảo mật của Facebook vào ngày 16 tháng 04 và phần thưởng cho anh chàng là 30.000$.
Mặc dù cuộc tấn công yêu cầu ID phương tiện được liên kết với hình ảnh, video hoặc album bằng "brute-force" các số định danh, Fartade đã chứng minh có thể tạo một yêu cầu POST tới một điểm cuối GraphQL và truy xuất dữ liệu nhạy cảm. Do đó, các chi tiết như số lượt thích, bình luận, lượt saved, display_url và image.uri tương ứng với ID có thể được trích xuất ngay cả khi không theo dõi tài khoản người dùng, đồng thời cũng sẽ rò rỉ cả tài khoản Facebook liên kết với tài khoản Instagram.
Fartade cũng phát hiện ra điểm cuối thứ hai vào ngày 23 tháng 04 tiết lộ cùng một bộ thông tin, Facebook đã xử lý hai điểm cuối bị rò rỉ này.
Mayur Fartade cho biết trong một bài đăng mới đây trên Medium: "Những kẻ tấn công trên Instagram có thể xem được các bài đăng, story, reels, IGTV ẩn mà không cần theo dõi người dùng bằng Media ID".
Lỗi được vá vào ngày 15 tháng 06 sau khi Fartade đã tiết lộ với nhóm bảo mật của Facebook vào ngày 16 tháng 04 và phần thưởng cho anh chàng là 30.000$.
Fartade cũng phát hiện ra điểm cuối thứ hai vào ngày 23 tháng 04 tiết lộ cùng một bộ thông tin, Facebook đã xử lý hai điểm cuối bị rò rỉ này.
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: