Facebook ha otorgado una recompensa de 30 mil dólares a un investigador de ciberseguridad por haber informado sobre ciertos fallos en las funciones de privacidad de Instagram. Esta vulnerabilidad habría permitido a usuarios malintencionados “ver medios específicos” en la plataforma sin siquiera ser seguidor de un determinado usuario.
Según informa Mayur Fartade, un atacante podría haber tenido accedo a publicaciones privadas, archivadas, historias, reels, IGTV “sin seguir al usuario usando Media ID”. Inclusive, lograrían interactuar con las cuentas, dejar me gusta, comentarios, “guardar recuento, display_url, image.uri, página vinculada de Facebook (si corresponde) y otros”. Sin dudas, esta vulnerabilidad arremetía directamente contra la privacidad de los usuarios de Instagram. En ese sentido, el cazarrecompensas explica que:
“Los datos de los usuarios se puede leer incorrectamente. Un atacante podría volver a generar una URL CDN (Content Delivery Network o Red de Distribución de Contenido, en español) válida de historias y publicaciones archivadas. También mediante la fuerza bruta de ID de medios, el atacante podría almacenar los detalles sobre medios específicos y luego filtrar que son privados y archivados”.
Esta vulnerabilidad data de abril 2021
Según Fartade, él había enviado un primer informe sobre los fallos el pasado 16 de abril. Sin embargo, la respuesta de Facebook fue que “necesitaba más información” sobre el caso. Datos complementarios que serían enviados tres días después (19 de abril).
Posteriormente, serian evaluados y confirmados por el equipo de seguridad Facebook. De esa forma, la compañía habría encontrado una “vulnerabilidad no completamente parcheada” y ofrecido una recompensa de 30 mil dólares a Fartade por su apoyo.
“Su informe destacó un escenario que podría haber permitido a un usuario malintencionado ver medios específicos en Instagram. Este escenario requeriría que el atacante conociera el ID de medio específico. Hemos solucionado este problema. Gracias de nuevo por su informe. Esperamos recibir más informes suyos en la función”, escribió Facebook al investigador de ciberseguridad.