Foi assim que pude ver posts/stories privados e arquivados de usuários no Instagram sem segui-los

Views: 413

Sou Mayur Fartade, de Maharashtra. Este é meu primeiro bug no programa de recompensas do Facebook Bug.

descrição

Esse bug poderia ter permitido que um usuário mal-intencionado visualizasse a mídia direcionada no Instagram. Um invasor poderia ter sido capaz de ver detalhes de posts privados/arquivados, histórias, bobinas, IGTV sem seguir o usuário usando o Media ID.
Detalhes incluem contagem de curtidas/comentários/salvamentos, display_url, image.uri, página vinculada do Facebook (se houver) e outros.

impacto

Os dados dos usuários podemyser lidos de forma inadequada . Um invasor poderia regenerar url cdn válido de histórias e postagens arquivadas. Também por ID de mídia que força a força bruta, o invasor poderia armazenar os detalhes sobre mídia específica e depois filtrar que são privados e arquivados.

Passos repro

Passos:

1. Obtenha o post/reel/IGTV/story id (Por força bruta ou outra técnica)
2. Envie uma solicitação POST para parâmetros de https://i.instagram.com/api/v1/ads/graphql/:
   
   
   doc_id=[REDACTED]&query_params={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]}}
3. Onde [MEDIA_ID] é a media_id de qualquer post/bobina/IGTV/história.
   
   doc_id é redigido.
4. Na resposta, display_url, save_count e outros detalhes de uma determinada mídia divulgada.

Depois de alguns dias, encontrei outro ponto final com doc_id=[REDACTED] que divulga as mesmas informações. access_token foi passado através da solicitação post, então quando eu tento acessar mídias de diferentes contas eu tenho dados:nulo na resposta.

Passos:

1. Envie uma solicitação POST para
https://i.instagram.com/api/v1/ads/graphql/
Parâmetros:access_token=[REDACTED]&variables={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]“},”fetch_actor_id”:false}&server_timestamps=true&doc_id=[REDACTED]

Onde [MEDIA_ID] é a media_id de qualquer post/bobina/IGTV/história.

doc_id é redigido.

Outros parâmetros não estão incluídos.

access_token é um token de acesso válido ao Facebook.

resposta

2. Então mudei a access_token para nula e tive acesso à informação.

Também o mesmo ponto final é divulgar a página do Facebook vinculada a uma conta do Instagram, mas o link da página do Facebook & Instagram é público. Você pode
ver aquihttps://www.facebook.com/ads/library/?active_status=all&ad_type=all&country=US&view_all_page_id=PAGE_ID&search_type=page
Onde PAGE_ID é o ID da página do Facebook.

Parâmetros:
access_token=null&variables={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]“},”fetch_actor_id”:false}&server_timestamps=true&doc_id=[REDACTED]

resposta:

consertar

O Instagram mudou os pontos finais acima.

Linha do tempo

16 abril 2021
: Relatório enviado 19 abril 2021 :

Resposta da Equipe de Segurança do
Facebook — Precisa de mais informações
19 de abril de 2021 : Informações

enviadas 22 de abril
de 2021 : Relatório Triado 23 de abril de 2021 : Encontrei outro ponto final divulgando as mesmas informações 29 de abril de 2021 : Fixo 29 abril 2021 : Vulnerabilidade não corrigida completamente. Envie as informações para
a Equipe de Segurança da FB …. algumas mensagens trocadas…

15 de junho de 2021: Recompensa de $30.000.

FONTE: MEDIUM