Peretas India Menemukan Bug Instagram Baru

  • Whatsapp
Peretas India Menemukan Bug Instagram Baru

 

Instagram telah mengatasi kelemahan baru, yang memungkinkan semua orang mengakses profil pribadi tanpa harus mengikuti mereka dan juga memungkinkan mereka melihat posting dan cerita yang diarsipkan.
Grup Facebook baru-baru ini menghadiahi seorang programmer India dan Bug Bounty Hunter dengan Rs 22 lakh untuk mengidentifikasi bug Instagram yang dapat mengizinkan siapa saja, tanpa mengikuti, untuk melihat posting berbeda di akun Instagram pribadi. Masalah yang baru saja dilaporkan oleh programmer, Mayur Fartade, di sebuah posting media mungkin merupakan pelanggaran privasi besar yang mengarah pada penipuan dan pelecehan identitas target mengingat bahaya yang ditimbulkan olehnya. Pada 15 April 2021, cacat ini diberitahukan ke Instagram dan sekarang telah ditambal.
Cacat itu mungkin memungkinkan peretas atau mereka yang berniat memata-matai dunia maya – untuk menargetkan posting pengguna tertentu dan mendapatkan akses tanpa harus mengikuti akun pribadi mereka, menurut Fartade.
Fartade mencatat dalam postingannya bahwa hak istimewa tinggi yang mungkin diperoleh penyerang akan digunakan untuk melihat elemen seperti “postingan pribadi/arsip, cerita, gulungan (dan) IGTV, detail termasuk jumlah suka/komentar/simpan, url display, gambar. uri, halaman tertaut Facebook (jika ada) dan keterangan lainnya, tanpa mengikuti pengguna dan dengan menggunakan ID Media”.
Cacat ini memungkinkan setiap orang kasar untuk memaksa posting “Media ID” yang merupakan ID untuk setiap posting yang dibuat di Instagram dan kemudian menggunakannya untuk membuat kembali tautan yang sah ke posting yang diarsipkan dan posting pribadi. Untuk tujuan ini, penyerang dapat menggunakan alat Instagram GraphQL di perpustakaan pengembang mereka, memasukkan ID media paksa pos yang ditargetkan, dan menjalankan alat untuk mendapatkan akses ke informasi seperti tautan pos dan detail terkait lainnya.
Masalah ini mungkin telah mengungkapkan banyak fakta sensitif dan tentu saja melanggar privasi, karena non-pengikut yang memiliki akses ke konten di akun pribadi dapat mengakibatkan banyak kejadian yang tidak diinginkan termasuk pencurian identitas, tantangan, atau pelecehan.
Facebook dalam suratnya kepada Fartade mengucapkan terima kasih atas laporannya: “Setelah meninjau masalah ini, kami telah memutuskan untuk memberi Anda hadiah sebesar $30.000. Di bawah ini adalah penjelasan tentang jumlah bounty. Facebook memenuhi penghargaan bounty-nya melalui Bugcrowd dan HackerOne. Laporan Anda menyoroti skenario yang memungkinkan pengguna jahat melihat media yang ditargetkan di Instagram. Skenario ini akan mengharuskan penyerang untuk mengetahui ID media tertentu. Kami telah memperbaiki masalah ini. Terima kasih sekali lagi atas laporan Anda. Kami berharap dapat menerima lebih banyak laporan dari Anda di masa mendatang, ”kata perusahaan itu.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *