Facebook a corrigé une faille sur Instagram qui rendait les profils privés visibles
La faille de sécurité permettait aux utilisateurs de consulter du contenu sans suivre un compte.
Facebook a accordé 30 000 dollars à un chercheur pour avoir signalé des vulnérabilités dans les fonctions de confidentialité d’Instagram.
Selon un billet de blog Medium rédigé mardi par le chasseur de bugs Mayur Fartade, un ensemble de points de terminaison vulnérables dans l’application Instagram aurait pu permettre à des attaquants de visualiser des médias privés sur la plateforme sans suivre un compte cible. Cela comprenait des posts, des Stories et des Reels privés et archivés.
Si un attaquant obtenait l’ID média d’un utilisateur cible, par force brute ou par d’autres moyens, il pouvait alors envoyer une requête POST au point de terminaison GraphQL d’Instagram, qui exposait les URL d’affichage et les URL d’image, ainsi que des enregistrements comprenant les like et comptes.
Un autre point de terminaison vulnérable a également été trouvé, qui exposait les mêmes informations.
Extraire les données sensibles d’un compte privé
Dans les deux cas, un attaquant aurait pu extraire des données sensibles concernant un compte privé, sans être accepté en tant que follower, une fonctionnalité d’Instagram conçue pour protéger la vie privée des utilisateurs.
En outre, les points de terminaison pouvaient être utilisés pour extraire les adresses des pages Facebook liées aux comptes Instagram.Mayur Fartade a signalé ses découvertes pour le premier point d’accès par le biais du programme Bug bounty de Facebook le 16 avril. L’équipe de sécurité de Facebook a ensuite répondu le 19 avril par une demande d’informations supplémentaires, et notamment les étapes de reproduction.
Le 22 avril, le rapport du hacker éthique avait été analysé, et un jour plus tard, Mayur Fartade a trouvé et informé Facebook du deuxième point d’extrémité présentant des fuites.
Le 22 avril, le rapport du hacker éthique avait été analysé, et un jour plus tard, Mayur Fartade a trouvé et informé Facebook du deuxième point d’extrémité présentant des fuites.
Récompense de 30 000 dollars
Facebook a corrigé les points d’extrémité vulnérables le 29 avril, mais Mayur Fartade affirme qu’un autre correctif est nécessaire pour résoudre complètement le problème de sécurité.
Une récompense financière d’une valeur de 30 000 dollars lui a été attribuée le 15 juin, la première du chasseur de bugs dans le cadre du programme de Facebook. Le géant des médias sociaux a remercié le chercheur pour son rapport.
Pour plus d’information : https://www.zdnet.fr/actualites/facebook-a-corrige-une-faille-sur-instagram-qui-rendait-les-profils-prives-visibles-39924577.htm
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram