可以访问私人帖子,故事,视频卷轴和IGTV
更新道德黑客已经降落了30,000美元错误赏金在Instagram中找到安全漏洞后的支出可能会将用户的私人内容暴露给邪恶的演员。
印度虫子猎人Mayur Fartade索取了Facebook漏洞的漏洞赏金计划揭示了受害者的私人和存档帖子,故事,视频卷轴和IGTVS(长形,沉浸式视频)。
不需要受害者接受攻击者作为追随者的漏洞利用涉及对目标的媒体ID进行蛮力,并将邮政请求发送给两个脆弱的终点之一,博客文章。
响应正式返回的显示和图像URL,喜欢,评论和保存计数,以及其他细节。
脆弱的端点还暴露了链接到Instagram帐户的Facebook页面的URL。
时间线
Fartade于4月16日报告了一个脆弱的GraphQL端点,以及4月23日的第二个脆弱端点。
Fartade称,4月29日实施的最初修复仅是部分的。
但是,Facebook的发言人告诉每日swbeplay2018官网ig:“现在已经解决了这个问题,我们还没有发现任何滥用的证据。”
以前的Facebook支出
Fartade的逃生是一连串的Facebook款项中的最新款项,该款项将由Bug Hunters记录。
这包括55,000美元的潜力奖励Facebook内部网络的妥协通过第三方申请中的漏洞和30,000美元的奖品三袋漏洞Facebook和Oculus帐户,并创建隐藏的帖子在未经授权的Facebook页面上。
而且,本月早些时候,一名道德黑客赚了3,000美元挫败Android的屏幕锁定机制在Messenger Rooms视频聊天中,以访问用户的私人Facebook内容。
本文于6月25日更新了Facebook的评论。
受到推崇的安全组织与EFF联手游说DMCA改革
