在 Instagram 上,这位印度开发者极大地保护了用户免受可能发生的事情的影响。如果您使用社交媒体,那么您很可能会担心帐户的安全性。您可能有许多有价值的东西,并且不希望其他人访问它们。或者,也许您希望对世界隐藏一些照片或其他细节。好吧,回到我们的故事,一位印度开发商帮助图像共享和社交网站 Instagram 修补了该公司系统中的一个错误,据称该错误允许用户在平台上查看内容,包括存档的故事、卷轴甚至 IGTV 视频,而无需在平台上关注用户。
开发人员 Mayur Fartade 发现了平台上的漏洞,该漏洞可能允许恶意用户利用媒体 ID 查看他所谓的“目标媒体”而无需关注用户。在一篇 Medium 博客文章中,Fartade解释了攻击者如何能够重新生成存档故事或帖子的有效 CDN URL。CDN 或内容交付网络用于更有效地交付网站数据,而 CDN URL 是用于向单个用户提供内容和数据的链接。
在 Fartade 于 4 月 16 日向公司的安全团队披露该漏洞后,他表示已在 6 月 15 日(即最初披露该漏洞近两个月后)修补该漏洞解决了该问题。Fartade表示,由于他的服务,他从公司的漏洞赏金计划中获得了 30,000 美元。
开发人员还表示,发现另一个端点可能会泄露相同的信息集,并且公司已经解决了与该错误发现相关的问题。
读者可以在他在 Medium上的帖子中访问马哈拉施特拉邦开发人员发现该错误的详细信息。Facebook 还在公司的白帽计划网站上感谢了 Fartade。
Fartade 说,虽然攻击者似乎需要知道确切的媒体 ID 才能真正看到任何媒体,但攻击者有可能“暴力破解”媒体 ID(提交多次尝试)以获得访问权限到数据。但是,他没有透露任何可以用于执行此步骤的方法。
值得注意的是,Facebook 提供了一个漏洞赏金计划,允许安全研究人员负责任地披露公司软件中的潜在安全漏洞。如果研究人员能够成功证明代码中的安全缺陷或错误,公司就会奖励他们的发现。许多公司遵循相同的程序来帮助查找安全漏洞并阻止这些漏洞在暗网上出售,暗网上通常用于定位用户并获取数据访问权限。