Sou Mayur Fartade, de Maharashtra. Este é meu primeiro bug no programa de recompensas do Facebook Bug.
descrição
Esse bug poderia ter permitido que um usuário mal-intencionado visualizasse a mídia direcionada no Instagram. Um invasor poderia ter sido capaz de ver detalhes de posts privados/arquivados, histórias, bobinas, IGTV sem seguir o usuário usando o Media ID.
Detalhes incluem contagem de curtidas/comentários/salvamentos, display_url, image.uri, página vinculada do Facebook (se houver) e outros.
impacto
Os dados dos usuários podemyser lidos de forma inadequada . Um invasor poderia regenerar url cdn válido de histórias e postagens arquivadas. Também por ID de mídia que força a força bruta, o invasor poderia armazenar os detalhes sobre mídia específica e depois filtrar que são privados e arquivados.
Passos repro
Passos:
- Obtenha o post/reel/IGTV/story id (Por força bruta ou outra técnica)
- Envie uma solicitação POST para parâmetros de https://i.instagram.com/api/v1/ads/graphql/:
doc_id=[REDACTED]&query_params={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]}} - Onde [MEDIA_ID] é a media_id de qualquer post/bobina/IGTV/história.
doc_id é redigido. - Na resposta, display_url, save_count e outros detalhes de uma determinada mídia divulgada.
Depois de alguns dias, encontrei outro ponto final com doc_id=[REDACTED] que divulga as mesmas informações. access_token foi passado através da solicitação post, então quando eu tento acessar mídias de diferentes contas eu tenho dados:nulo na resposta.
Passos:
1. Envie uma solicitação POST para
https://i.instagram.com/api/v1/ads/graphql/
Parâmetros:access_token=[REDACTED]&variables={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]“},”fetch_actor_id”:false}&server_timestamps=true&doc_id=[REDACTED]
Onde [MEDIA_ID] é a media_id de qualquer post/bobina/IGTV/história.
doc_id é redigido.
Outros parâmetros não estão incluídos.
access_token é um token de acesso válido ao Facebook.
resposta
2. Então mudei a access_token para nula e tive acesso à informação.
Também o mesmo ponto final é divulgar a página do Facebook vinculada a uma conta do Instagram, mas o link da página do Facebook & Instagram é público. Você pode
ver aquihttps://www.facebook.com/ads/library/?active_status=all&ad_type=all&country=US&view_all_page_id=PAGE_ID&search_type=page
Onde PAGE_ID é o ID da página do Facebook.
Parâmetros:
access_token=null&variables={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]“},”fetch_actor_id”:false}&server_timestamps=true&doc_id=[REDACTED]
resposta:
consertar
O Instagram mudou os pontos finais acima.
Linha do tempo
16 abril 2021
: Relatório enviado 19 abril 2021 :
Resposta da Equipe de Segurança do
Facebook — Precisa de mais informações
19 de abril de 2021 : Informações
enviadas 22 de abril
de 2021 : Relatório Triado 23 de abril de 2021 : Encontrei outro ponto final divulgando as mesmas informações 29 de abril de 2021 : Fixo 29 abril 2021 : Vulnerabilidade não corrigida completamente. Envie as informações para
a Equipe de Segurança da FB …. algumas mensagens trocadas…
15 de junho de 2021: Recompensa de $30.000.
FONTE: MEDIUM