Как просматривали информацию с закрытых профилей в Instagram?
Как просматривали информацию с закрытых профилей в Instagram?
Подобные возможности интересуют многих пользователей и к сожалению, такие уязвимости существуют в большинстве подобных сервисах. И чаще всего не в единственном количестве.
Вот подобную брешь в системе недавно исправили в Instagram, где можно было просматривать приватные и архивные посты, сторисы, IGTV без обязательной подписки на аккаунт.
Осуществлялось оно при помощи брутфорса(подбора) идентификаторов медиа-файлов и соответствующего POST запроса к GraphQL в стандартном API Instagram.
Таким образом можно было просмотреть как сам медиа-файл, так и связанную с ним информацию. Например: количество комментариев, лайков и сохранений.
Помимо этого, можно было узнать и связанную страницу Facebook с атакуемой учетной записью. Об этих уязвимостях было сообщено еще 15 апреля, а исправили их лишь 15 июня.