Instagram修补了一个新漏洞，允许任何人查看私人帐户而不必跟踪它们

Instagram修补了一个新漏洞，允许任何人查看私人账户发布的存档帖子和故事，而无需关注它们。

安全研究人员Mayur Fartade今天在一篇媒体帖子中说：“这个漏洞可能会让恶意用户在Instagram上查看目标媒体。”。“攻击者可以在不使用媒体ID跟踪用户的情况下查看私人/存档帖子、故事、卷轴、IGTV的详细信息。”

2021年4月16日，法塔德向脸谱网安全团队披露了这一问题，随后该漏洞在6月15日被修补。作为该公司臭虫赏金计划的一部分，他还获得了3万美元的奖金。

尽管攻击需要知道与图像、视频或相册相关的媒体ID，但Fartade通过强制输入标识符证明了向GraphQL端点发送POST请求并检索敏感数据是可能的。

由于该漏洞，诸如/comment/save count、display_url和image等详细信息会丢失。即使不跟踪目标用户，也可以提取与媒体ID对应的uri，同时公开链接到Instagram帐户的Facebook页面。

法塔德说，他还在4月23日发现了第二个端点，显示了相同的信息集。Facebook已经解决了这两个泄露的端点。