Il bug di Instagram che permetteva di vedere post e stories dei profili privati

Si tratta di un bug Instagram individuato dal ricercatore Mayur Fartade lo scorso 16 aprile e che è stato risolto nella giornata di oggi. L’esperto ha ricevuto un compenso pari a 30 mila dollari nell’ambito del programma bug bounty. Si tratta di un accordo che prevede il riconoscimento di ricompense in denaro per tutte quelle persone che segnalano bug e vulnerabilità di sistema per molti siti internet e sviluppatori di software. La grande vulnerabilità individuata da Fartade permetteva a chiunque di visualizzare i contenuti di account privati – storie e post – senza la necessità di seguirli e, quindi, senza essere autorizzati a farlo.

LEGGI ANCHE >>> I dati rubati di milioni di italiani vaccinati custoditi con un «livello di sicurezza imbarazzante»

Il bug Instagram che rendeva inutile avere un profilo privato

$30000 bounty from Facebook

Write-up: https://t.co/teRY3dDqNY#facebook #bugbounty #Instagram #infosec pic.twitter.com/NGU8UjWzAp

— Mayur Fartade (@mayurfartade) June 15, 2021

La vulnerabilità di Instagram ha messo a rischio la sicurezza di tutte quelle persone che, scegliendo di mantenere privato il proprio profilo, pubblicano il proprio materiale nella convinzione che sia visibile solo a chi e nelle modalità da loro scelte. «Questo bug – è stato chiarito – avrebbe potuto consentire a un utente malintenzionato di visualizzare contenuti multimediali mirati su Instagram». Una persona malintenzionata, quindi, avrebbe potuto vedere tutti i dettagli relativi a «post privati/archiviati, storie, bobine, IGTV senza seguire l’utente utilizzando Media ID».

Possibile anche memorizzare i dati

Oltre alla visualizzazione, ha spiegato Fartade, era possibile anche memorizzare i dati su supporti specifici. Bastava conoscere il media ID relativo a immagini, video e album per potervi accedere senza alcun problema. Facebook ci ha messo circa due mesi per risolvere il problema e l’esperto ha riportato, passo dopo passo, tutti gli step che hanno portato alla ricompensa di 30 mila dollari che gli è stata notificata da Facebook direttamente tramite il suo profilo.