Instagram opravila novú chybu, ktorá umožnila komukoľvek prezerať archivované príspevky a príbehy zverejnené súkromnými účtami bez toho, aby ich musel sledovať.
„Táto chyba mohla umožniť používateľovi so zlými úmyslami zobraziť cielené médiá Instagram”Útočník mohol vidieť podrobnosti o súkromných/archivovaných príspevkoch, príbehoch, kotúčoch, IGTV bez toho, aby sledoval používateľa pomocou Media ID.”
Fartade tento problém prezradil Facebookbezpečnostný tím 16. apríla 2021, po čom bol nedostatok opravený 15. júna. V rámci firemného programu odmeny za chyby získal tiež 30 000 dolárov.
Hoci útok vyžaduje poznať ID média spojené s obrázkom, videom alebo albumom, hrubým vynútením identifikátorov Fartade preukázal, že je možné vytvoriť požiadavku POST na koncový bod GraphQL a získať citlivé údaje.
V dôsledku chyby bolo možné extrahovať podrobnosti, ako napríklad počet rád/komentárov/uložených, display_url a image.uri zodpovedajúce ID média aj bez toho, aby ste sledovali cieľového používateľa a zároveň odhalili Facebook Stránka prepojená s Instagram účtu.
Fartade povedal, že 23. apríla objavil aj druhý koncový bod, ktorý odhalil rovnaký súbor informácií. Facebook odvtedy rieši oba netesné koncové body.