Подобные возможности интересуют многих пользователей и к сожалению, такие уязвимости существуют в большинстве подобных сервисах. И чаще всего не в единственном количестве.
Вот подобную брешь в системе недавно исправили в Instagram, где можно было просматривать приватные и архивные посты, сторисы, IGTV без обязательной подписки на аккаунт.
Осуществлялось оно при помощи брутфорса(подбора) идентификаторов медиа-файлов и соответствующего POST запроса к GraphQL в стандартном API Instagram.
Таким образом можно было просмотреть как сам медиа-файл, так и связанную с ним информацию. Например: количество комментариев, лайков и сохранений.
Помимо этого, можно было узнать и связанную страницу Facebook с атакуемой учетной записью. Об этих уязвимостях было сообщено (https://fartademayur.medium.com/this-is-how-i-was-able-to-see-private-archived-posts-stories-of-users-on-instagram-without-de70ca39165c) еще 15 апреля, а исправили их лишь 15 июня.
#новость #уязвимость #instagram