Facebook, Instagram Zafiyetini Tespit Eden Beyaz Şapkalı Hacker’ı 30.000 Dolar ile Ödüllendirdi

Instagram uç noktalarında tespit edilen zafiyetlerin platform üzerinde belli bir hesabı takip etmeden özel içerikleri izleme imkânı verdiği anlaşıldı. Söz konusu içerikler arasında özel ve arşivlenmiş paylaşımlar, hikayeler ve seriler yer alıyor.

Eğer bir saldırgan hedeflenen kullanıcının Media ID’sini ele geçirirse (brute force saldırısı ya da diğer yöntemler ile yapılabilir) ardından Instagram GraphQL uç noktasına talep göndererek URL ve görüntü URL’lerini ifşa edebilir. Aynı zamanda beğeni ve kaydedilen içerikler gibi bilgilere erişilebilir.

Bir diğer uç nokta zafiyetinin de aynı bilgilerin ifşasında kullanılabileceği anlaşıldı. Her iki durumda, saldırgan bir hesabı takip etmemesine rağmen özel bilgileri çalabilir, ek olarak Instagram ile senkronize edilen Facebook hesaplarının bağlantıları da ele geçirilebilir.

Facebook Bug Bounty programına 16 Nisan’da bildirilen zafiyet 19 Nisan 2021’de onaylandı ve güvenlik araştırmacısından daha fazla bilgi talep edildi. 23 Nisan’da Facebook ikinci uç nokta zafiyeti tarafından da uyarıldı.

Sosyal medya şirketi, söz konusu zafiyetlerin 29 Nisan’da yamandığını duyurdu. Ancak güvenlik açığının tamamen kapatılması için kapsamlı bir güvenlik güncellemesi yapılması gerektiği not düşüldü.

15 Haziran tarihinde bağımsız güvenlik araştırmacısına ödül olarak 30.000 dolar ödendi. Facebook, beyaz şapkalı hacker‘a teşekkür etmeyi de ihmal etmedi.

İlgili Konu: Türkiye’de nasıl beyaz şapkalı hacker olunur?