Уязвимость в Instagram позволяла менять иконку любого рила

Уязвимость в Instagram позволяла менять иконку любого рила

Обнаруживший уязвимость исследователь получил от Meta 49,5 тыс. в рамках программы bug bounty.

Исследователь безопасности Нирадж Шарма (Neeraj Sharma) рассказал об обнаруженной им уязвимости в Instagram, позволявшей злоумышленникам менять иконку рилов (Reels – короткие видеоролики до 60 секунд, которые в отличие от сторис не исчезают через 24 часа). Компания Meta успела исправить уязвимость до того, как ее начали массово эксплуатировать злоумышленники.

Как пояснил Шарма, проблема затрагивала функцию редактирования иконки Instagram-рилов. Тщательно изучив эту функцию при изменении иконки собственного рила, исследователь перехватил HTTP-запросы, чтобы обнаружить уязвимую конечную точку.

Говоря точнее, уязвимость позволяла пользователям редактировать параметры clips_media_id (ID рила) и upload_id (ID фотографии, которую пользователь хочет установить в качестве иконки). Шарме удалось отредактировать эти параметры на двух своих страницах в Instagram и изменить иконки рилов. По его словам, с помощью media_id злоумышленники могли запросто менять иконки рилов любого пользователя.

«Уязвимость позволяла злоумышленнику/кам менять иконку любого рила в Instagram. Для осуществления атаки требовался только Media ID рила атакуемого пользователя. С точки зрения триады безопасности (конфиденциальность, целостность и доступность – ред.) нарушалась целостность, а доступность для жертвы полностью игнорировалась действиями злоумышленника», – сообщил исследователь.

Обнаружив уязвимость, Шарма уведомил о ней компанию Meta, которой принадлежит Instagram, в рамках программы выплаты вознаграждений исследователям безопасности bug bounty. Через несколько дней техногигант ознакомился с отчетом Шармы и начал работу над исправлением.

В итоге Meta исправила уязвимость и выплатила исследователю вознаграждение в размере $45 тыс. Кроме того, он дополнительно получил $4,5 тыс. в качестве бонуса.

Учитывая, какой хаос среди пользователей Instagram могла вызвать эксплуатация данной уязвимости в реальных атаках, исправление вышло весьма своевременно. Пользователям рекомендуется обновить свое приложение Instagram до последней доступной версии, чтобы обезопасить себя от возможных последствий.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь