حصل مطور عندي على مكافأة قدرها 30 ألف دولار من انستجرام، وذلك بعد إبلاغه عن ثغرة قد تسمح لأي شخص بمشاهدة المنشورات المؤرشفة والقصص وReels و IGTV دون متابعة المستخدم – عندما يكون ملف تعريف السابق خاصًا.
وقام المطور الهندي، Mayur Fartade ، بتفصيل المشكلة في منشور على Medium، وقال إن هذا الخطأ قد يسمح لمهاجم محتمل “بإعادة إنشاء عنوان url صالح للقصص والمنشورات المؤرشفة، وأيضًا من خلال فرض معرفات الوسائط بالقوة الغاشمة، تمكن المهاجم من تخزين التفاصيل حول وسائط معينة وفلاتر لاحقة تكون خاصة ومؤرشفة “.
وقال أيضًا إن الجدول الزمني بأكمله – من إثارة المشكلة إلى إصلاحها – كان حوالي شهرين، وقد لا يبدو هذا الخطأ خطيرًا في البداية لأنه يتطلب من المهاجمين معرفة معرف الوسائط المرتبط بصورة أو مقطع فيديو أو ألبوم، عن طريق فرض المعرفات بشكل غاشم، ومع ذلك، أظهر Fartade أنه من الممكن صياغة طلب POST لنقطة نهاية GraphQL واسترداد البيانات الحساسة.
ورد عليه فيس بوك قائلا إنه سلط الضوء على سيناريو كان من الممكن أن يسمح لمستخدم ضار بمشاهدة الوسائط المستهدفة على Instagram.