팔로우하지 않은 사용자의 비공개, 아카이브 게시물/스토리를 확인할 수 있는 인스타그램 취약점 수정

 

 

Instagram flaw allowed to see private, archived Posts/Stories of users without following them

 

Mayur Fartade 연구원이 인스타그램에서 누구나 비공개 계정에 접근해 팔로우하지 않고도 아카이빙된 게시물 및 스토리를 확인할 수 있는 취약점을 발견했습니다.

 

해당 연구원은 2021년 4월 16일 페이스북의 보안팀에 이 취약점을 신고했으며, 회사는 6월 15일 이 취약점을 수정했습니다. 페이스북은 해당 연구원에게 버그 바운티 프로그램의 일환으로 3만 달러를 지급했습니다.

 

Fartade는 Medium에서 아래와 같이 밝혔습니다.

 

“이 취약점은 악성 사용자가 인스타그램에서 타깃 미디어를 열람할 수 있도록 허용합니다. 공격자는 Media ID를 사용해 사용자를 팔로우하지 않고도 비공개 또는 아카이빙된 포스트, 스토리, 릴, IGTV를 볼 수 있습니다. 여기에는 좋아요/댓글/저장 횟수, display_url, image.uri, 페이스북 링크 페이지 및 기타 정보가 포함되어 있습니다.”

“사용자의 데이터는 부적절하게 읽힐 수 있습니다. 공격자가 아카이브된 스토리나 게시물의 유효한 cdn url을 재생성할 수 있습니다. 또한 Media ID를 브루트포싱해 특정 미디어에 대한 세부 정보 및 비공개 및 아카이빙된 필터를 저장할 수 있습니다.”

 

전문가는 단순히 연결된 Media ID만 알고 있다면 이미지, 영상, 앨범에 접근이 가능하다는 것을 발견했습니다.

 

공격자는 Media ID를 브루트포싱해 비공개 및 아카이브된 특정 미디어 및 필터를 저장할 수 있게 됩니다.

 

연구원들은 해당 미디어의 소유자를 팔로우하지 않고도 계정에서 데이터를 검색하기 위해 GraphQL 엔드포인트에 대한 POST 요청을 작성했습니다.

 

아래는 이를 재현하는 단계를 보여줍니다.

 

1. (브루트포싱 또는 기타 기술을 이용해) 타깃의 게시물/릴/IGTV/스토리의 Media ID 수집하기

2. https://i.instagram.com/api/v1/ads/graphql/로 POST 요청 보내기

파라미터: doc_id=[REDACTED]&query_params={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]”}}

3. 여기서 [MEDIA_ID]는 게시물/릴/IGTV/스토리의 media_id를 의미하며, doc_id는 제거됨

4. 응답에서 특정 미디어에 대한 display_url, save_count를 포함한 기타 세부 정보가 공개됨

 

또한 전문가는 동일한 정보에 액세스하는데 사용될 수 있는 doc_id=[삭제됨]인 다른 엔드포인트를 발견했습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/118994/security/instagram-flaw-2.html

https://fartademayur.medium.com/this-is-how-i-was-able-to-see-private-archived-posts-stories-of-users-on-instagram-without-de70ca39165c