A través d’aquesta vulnerabilitat persones no autoritzades podien accedir a posts de comptes dels quals no eren seguidors, sense que ni tan sols els calgués iniciar sessió.

Investigadors de seguretat han revelat una vulnerabilitat a Instagram que deixava els usuaris exposats a mirades alienes. 

Un error en els sistemes de la xarxa social permetia, sota determinades condicions, que persones no autoritzades accedissin a publicacions de perfils configurats com a privats. A més, per això, no calia que fossin seguidors i tampoc es requeria que iniciessin sessió. 

El problema residiria en la lògica d’autorització del servidor, és a dir, en el mecanisme que decideix qui pot visualitzar segons quin contingut. 

La fallada es produïa en fer peticions web especialment manipulades des de navegadors mòbils. En lloc de rebutjar aquestes sol·licituds, el servidor tornava estructures internes de dades que incloïen enllaços directes a recursos multimèdia (imatges i vídeos) i metadades associades a publicacions privades. En obrir els enllaços corresponents es feia factible veure les publicacions sense cap mena de validació addicional.

Tot i que aquesta fallada no implicava l’explotació de credencials ni tècniques de força bruta, sí que suposava un bypass dels mecanismes d’autorització, cosa que mostrava un risc elevat per a la confidencialitat de les dades. 

L’investigador que va descobrir la fallada va trobar que la vulnerabilitat afectava un quart de tots els comptes privats. 

Meta va solucionar el problema i va mantenir silenci

El forat de seguretat es va informar a Meta l’octubre de l’any passat i la firma de Mark Zuckerberg va aplicar un pedaç al costat del servidor pocs dies després. 

Tot i això, la companyia de Menlo Park no va informar públicament de l’incident ni tampoc ho va notificar als usuaris potencialment afectats. Simplement, va tancar l’informe qualificant-ho com «no aplicable».

La comunitat de ciberseguretat ha criticat la manera d’actuar de Meta respecte a aquest error perquè es tracta d’un problema d’autorització d’alt impacte, que afectava directament la confidencialitat de les dades dels usuaris.

Encara que no s’ha confirmat cap explotació massiva, la fallada demostra una vegada més que la privadesa a les xarxes socials que, suposadament, han de protegir els gegants tecnològics, es posa una vegada i una altra en entredit.