Исследователь по безопасности опубликовал подробные доказательства того, что некоторые приватные профили Instagram* возвращали ссылки на пользовательские фотографии для неподтвержденных посетителей.
Функция приватных аккаунтов Instagram* предназначена для ограничения доступа к фотографиям, видео, историям и reels только для одобренных подписчиков. Однако результаты исследования показали, что в некоторых случаях содержимое приватных профилей встраивалось в публично доступные ответы сервера.
По словам исследователя, Meta* устранила проблему после его уведомления, но позже закрыла отчет как «неприменимый», утверждая, что уязвимость не воспроизводится.
Утечка фотографий из приватных аккаунтов Instagram*
Исследователь безопасности Джатин Банга недавно показал, как определенные приватные профили Instagram* раскрывали ссылки на личные фотографии — непосредственно в теле HTML-ответа.
Когда неподтвержденный пользователь с определенных мобильных устройств пытается получить доступ к приватному профилю Instagram* (например, созданному исследователем https://instagram.com/jatin.py), появляется стандартное сообщение: «Этот аккаунт приватный. Подпишитесь, чтобы просматривать фото и видео».
Однако в исходном коде HTML для затронутых профилей были встроены ссылки на некоторые личные фотографии и подписи к ним.
В примере Банги JSON-объект polaris_timeline_connection, возвращаемый в HTML, содержал закодированные ссылки CDN на фотографии, к которым не должен был быть доступ.
Видео с демонстрацией концепции (PoC), опубликованное Бангой и встроенное ниже, иллюстрирует уязвимость, связанную с утечкой данных.
Ограничения тестирования только профилями, созданными Бангой или использовавшимися с явного разрешения, показали, что как минимум у 28% аккаунтов возвращались подписи и ссылки на личные фото:
Мета тихо устранила проблему после отчета, утверждает исследователь
Исследователь указал, что он сообщил о своих находках родительской компании Instagram* , Meta*, еще 12 октября 2025 года.
Первоначально Meta* классифицировала проблему как ошибку кэширования CDN, что исследователь оспаривал.
«Это была не проблема кэширования CDN — сервер Instagram* не проверял авторизацию перед формированием ответа», — написал Банга, описав это как ошибку на стороне сервера.
Банга создал второй отчет, уточняющий проблему, но не достиг удовлетворительного решения после многодневных переговоров с компанией.
По данным исследователя, после повторных обсуждений инцидент был закрыт как «неприменимый», а эксплойт перестал работать примерно 16 октября.
«Стандартное окно координированного раскрытия составляет 90 дней. Я предоставил Meta* 102 дня и несколько попыток эскалации. Эксплойт перестал работать для всех протестированных мной аккаунтов — хотя без анализа корневой причины от Meta* нет подтверждения, что основная проблема действительно решена», — продолжил он.
Помимо своего отчета и репозитория на GitHub, документирующего доказательства уязвимости и переписку с Meta*, Банга предоставил BleepingComputer дополнительные материалы для подтверждения существования проблемы.
Мы спросили Бангу, почему он не архивировал тестовый приватный профиль с помощью публичных сервисов вроде Wayback Machine от Internet Archive, что могло бы сохранить исходный код HTML с упоминанием личных фото и подтвердить наличие бага.
«Wayback Machine не отправляет мобильное пользовательское агентство и заголовки, необходимые для активации этой утечки на стороне сервера, поэтому их сканеры не могли ее зафиксировать», — уточнил исследователь в интервью BleepingComputer.
В опубликованной переписке аналитик Meta* по уязвимостям написал:
В конечном итоге в ходе переписки аналитик отметил:
«Факт, что неповторяемая проблема была исправлена, не отменяет того, что в момент проверки она не воспроизводилась. Даже если бы проблема воспроизводилась, возможно, изменения были внесены для устранения другой ошибки, и эта проблема была исправлена как побочный эффект».
«Хочу подчеркнуть, что я не гонюсь за вознаграждением. Публичное раскрытие означает, что я отказался от возможности получить награду», — сообщил Банга в электронном письме для BleepingComputer.
«Цель — прозрачность. Meta* исправила критическую утечку конфиденциальной информации через 48–96 часов после моего уведомления, но отказалась ее признать, назвав «побочным эффектом». Их небрежность и нежелание изучить корневую причину, несмотря на наличие логов, — настоящая проблема».
«Никто не знает, сколько времени проблема использовалась злоумышленниками, ведь найти ее было несложно».
Представители BleepingComputer трижды обращались в Meta* с запросами за неделю до публикации, но не получили ответа.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ax Sharma
