ГЛАВНАЯ // NEWS


Уязвимость в Instagram позволяла менять иконку любого рила

Исследователь безопасности Нирадж Шарма (Neeraj Sharma) рассказал
об обнаруженной им уязвимости в Instagram, позволявшей злоумышленникам менять иконку рилов (Reels – короткие видеоролики до 60 секунд, которые в отличие от сторис не исчезают через 24 часа). Компания Meta успела исправить уязвимость до того, как ее начали массово эксплуатировать злоумышленники.

Как пояснил Шарма, проблема затрагивала функцию редактирования иконки Instagram-рилов. Тщательно изучив эту функцию при изменении иконки собственного рила, исследователь перехватил HTTP-запросы, чтобы обнаружить уязвимую конечную точку.

Говоря точнее, уязвимость позволяла пользователям редактировать параметры clips_media_id (ID рила) и upload_id (ID фотографии, которую пользователь хочет установить в качестве иконки). Шарме удалось отредактировать эти параметры на двух своих страницах в Instagram и изменить иконки рилов. По его словам, с помощью media_id злоумышленники могли запросто менять иконки рилов любого пользователя.

«Уязвимость позволяла злоумышленнику/кам менять иконку любого рила в Instagram. Для осуществления атаки требовался только Media ID рила атакуемого пользователя. С точки зрения триады безопасности (конфиденциальность, целостность и доступность – ред.) нарушалась целостность, а доступность для жертвы полностью игнорировалась действиями злоумышленника», – сообщил исследователь.

Обнаружив уязвимость, Шарма уведомил о ней компанию Meta, которой принадлежит Instagram, в рамках программы выплаты вознаграждений исследователям безопасности bug bounty. Через несколько дней техногигант ознакомился с отчетом Шармы и начал работу над исправлением.

В итоге Meta исправила уязвимость и выплатила исследователю вознаграждение в размере $45 тыс. Кроме того, он дополнительно получил $4,5 тыс. в качестве бонуса.

Учитывая, какой хаос среди пользователей Instagram могла
вызвать эксплуатация данной уязвимости в реальных атаках, исправление вышло весьма
своевременно. Пользователям рекомендуется обновить свое приложение Instagram до последней
доступной версии, чтобы обезопасить себя от возможных последствий.

Источник: SecurityLab


Powered by Отряд им. 7-го МАЯ