Un bug permettait de voir des contenus privés

Lorsque le détenteur d’un compte Instagram active le mode privé dans les paramètres du réseau social, les photos, vidéos et stories qu’il publie ne sont en théorie visibles que par les personnes autorisées à accéder à son profil. Or, pendant des mois, ce n’était pas le cas. Un bug pouvait permettre à quiconque de voir des contenus protégés sans suivre le compte privé associé. C’est ce qu’a découvert le développeur indien Mayur Fartade, 21 ans.

Le 15 juin, cet étudiant en ingénierie informatique a reçu 30 000 dollars de récompense de la part de Facebook, propriétaire de l’app, après avoir signalé le problème, deux mois plus tôt, via le programme Bug Bounty du géant des réseaux sociaux Facebook. Celui-ci récompense les chasseurs de bugs qui signalent des failles.

Le problème corrigé

En pratique, grâce à la technique expliquée par l’étudiant, n’importe qui était capable de visualiser et télécharger n’importe quels post, story ou reels privé, publié ou archivé sur la plateforme. Il suffisait d’obtenir l’ID média via une attaque par force brute ou un autre moyen.

Le pirate pouvait entre autres aussi accéder à d’autres détails des contenus, comme les likes, les commentaires ou la page Facebook associée, le cas échéant. Le problème a été corrigé par l’équipe de sécurité de Facebook le 29 avril dernier, a indiqué le chasseur de bugs dans un billet de blog Medium.

(L’essentiel/man)

lire aussi

Articles connexes