Баг Instagram позволяет читать приватные посты и сториз

Уязвимость безопасности Instagram позволяет сторонним пользователям читать чужие закрытые посты, пишет The Verge со ссылкой на BuzzFeed.

Как выяснило издание, всего в несколько кликов в любом браузере можно узнать URL приватных постов и историй, хранящихся на серверах Facebook. Сделать это можно через исходный код страницы. Ссылкой можно поделиться, а фото может просмотреть кто угодно, включая тех, кому закрыт доступ к приватным аккаунтам.

Помимо URL опубликованных фотографий, аналогичным образом можно получить URL фотографии профиля любого пользователя Instagram, который взаимодействовал с постом, даже если этот профиль — закрытый.

Кроме того, по этим ссылкам можно получить изображения с серверов Facebook даже после удаления изначальных постов. Это касается как фотографий, размещённых в ленте, так и для сториз, которые удаляются через 24 часа. Но BuzzFeed пишет, что приватные истории будут открываться по URL только в течение нескольких дней после опубликования. Издание утверждает, что метод срабатывает для приватных постов и фотографий в самой Facebook, но журналисты Verge пока это не подтвердили.

Facebook заявила, что не заметила каких-либо злоупотреблений, связанных с описанным BuzzFeed методом. По мнению соцсети, он подобен тому, чтобы просто сделать скриншот фотографии друга на Facebook или Instagram и поделиться им с другими людьми. Он не даёт пользователям доступа к приватным аккаунтам, добавили представители Facebook.