Ga naar inhoud

Afgeschermde Instagram-foto's door beveiligingslek toch zichtbaar


Aanbevolen berichten

Een kwetsbaarheid in Instagram zorgde ervoor dat afgeschermde foto's ook zichtbaar waren voor personen die de gebruiker in kwestie niet volgden. Facebook heeft het beveiligingslek verholpen en onderzoeker Mayur Fartade die het probleem ontdekte en rapporteerde met 30.000 dollar beloond.

Instagram-gebruikers kunnen hun account op privé zetten zodat alleen volgers die daar toestemming voor hebben kunnen zien wat de gebruiker deelt. Afbeeldingen op het platform zijn voorzien van een Media ID. Wanneer een aanvaller dit Media ID zou weten, bijvoorbeeld via een bruteforce-aanval, had die een request kunnen sturen naar Instagrams GraphQL endpoint. De respons bevatte vervolgens de url van de betreffende afbeelding, alsmede andere informatie. Ook via een ander endpoint was het mogelijk om deze informatie op te vragen.

Fartade waarschuwde Facebook op 16 april van dit jaar en stuurde op 19 april meer informatie. Drie dagen later verhielp Facebook het probleem. Op 24 april ontdekte de onderzoeker echter het andere endpoint dat dezelfde informatie prijsgaf. Vijf dagen later rolde Facebook een oplossing uit, maar die was volgens de onderzoeker niet volledig. Gisteren liet Facebook weten dat het probleem nu wel was opgelost, iets wat Fartade bevestigt. Daarnaast meldde het techbedrijf dat de onderzoeker voor zijn melding met 30.000 dollar wordt beloond.

 

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.