Si tratta di un bug Instagram individuato dal ricercatore Mayur Fartade lo scorso 16 aprile e che è stato risolto nella giornata di oggi. L’esperto ha ricevuto un compenso pari a 30 mila dollari nell’ambito del programma bug bounty. Si tratta di un accordo che prevede il riconoscimento di ricompense in denaro per tutte quelle persone che segnalano bug e vulnerabilità di sistema per molti siti internet e sviluppatori di software. La grande vulnerabilità individuata da Fartade permetteva a chiunque di visualizzare i contenuti di account privati – storie e post – senza la necessità di seguirli e, quindi, senza essere autorizzati a farlo.
LEGGI ANCHE >>> I dati rubati di milioni di italiani vaccinati custoditi con un «livello di sicurezza imbarazzante»
$30000 bounty from Facebook
Write-up: https://t.co/teRY3dDqNY#facebook #bugbounty #Instagram #infosec pic.twitter.com/NGU8UjWzAp
— Mayur Fartade (@mayurfartade) June 15, 2021
La vulnerabilità di Instagram ha messo a rischio la sicurezza di tutte quelle persone che, scegliendo di mantenere privato il proprio profilo, pubblicano il proprio materiale nella convinzione che sia visibile solo a chi e nelle modalità da loro scelte. «Questo bug – è stato chiarito – avrebbe potuto consentire a un utente malintenzionato di visualizzare contenuti multimediali mirati su Instagram». Una persona malintenzionata, quindi, avrebbe potuto vedere tutti i dettagli relativi a «post privati/archiviati, storie, bobine, IGTV senza seguire l’utente utilizzando Media ID».
Oltre alla visualizzazione, ha spiegato Fartade, era possibile anche memorizzare i dati su supporti specifici. Bastava conoscere il media ID relativo a immagini, video e album per potervi accedere senza alcun problema. Facebook ci ha messo circa due mesi per risolvere il problema e l’esperto ha riportato, passo dopo passo, tutti gli step che hanno portato alla ricompensa di 30 mila dollari che gli è stata notificata da Facebook direttamente tramite il suo profilo.