#BugBounty | #Privacy | #Facebook
Facebook premia pesquisador com US$ 30 mil por descobrir bugs de privacidade no Instagram
https://fartademayur.medium.com/this-is-how-i-was-able-to-see-private-archived-posts-stories-of-users-on-instagram-without-de70ca39165c
Facebook premia pesquisador com US$ 30 mil por descobrir bugs de privacidade no Instagram
O chamado endpoints (ou nó na rede) permitia que os usuários visualizassem conteúdo privado sem seguir de fato a conta, tornando os recursos de privacidade da rede vulneráveis.
foram detectados dois erros na rede que possibilitavam a um invasor acesso a postagens privadas e arquivadas do feed, stories, IGTV e reels. Além do invasor conseguir extrair dados confidenciais sobre uma conta privada sem ser aceito como seguidor, também era possível extrair as páginas do Facebook vinculadas ao Instagram.
Erro funcionava a partir do acesso ao ID de mídia do usuário que, lançado ao terminal GraphQL do Instagram, expunha URLs de exibição e URLs de imagem, bem como todos os registros que deveriam ser privados.
https://fartademayur.medium.com/this-is-how-i-was-able-to-see-private-archived-posts-stories-of-users-on-instagram-without-de70ca39165c