Instagram上的私人帖子和故事可以通过网络浏览器公开分享

TheVerge 2019-09-10 15:38 29406

BuzzFeed今天报道称,Instagram在处理设置为私人账号的帖子时存在安全漏洞。该报告演示了如何在任何web浏览器上单击一系列鼠标就可以公开缓存在Facebook服务器上的私有文章和故事的持久URL。

任何人都可以使用web浏览器,如谷歌Chrome,使用“inspect Elements”工具检查web页面上的源代码。通过切换到网络标题的“Img”部分,你可以找到任何你点击过的Instagram图片的URL,无论是正在消失的故事还是发布到用户feed的照片。然后,任何人都可以共享该URL和照片,包括不关注相关私人账户的人。

Verge能够独立地验证这一过程确实有效。这个过程有点繁琐,但通常通过重新加载一个私人帐户的页面并加载“Img”部分,能够找到正确的URL并确认它可以公开共享。图片预览甚至可以加载到聊天应用程序中,比如Slack。我们还确认了另一个用户能够找到相同的url,从而排除了Instagram只向查看自己私人账户的用户提供此类数据的可能性。

除了显示发布到私人帐户的照片的持久url外,同样的源代码技巧还允许您为其他Instagram用户的个人资料照片提取url,这些用户可能与该帖子有过互动,他们的帐户也可能被设置为私有。当然,你必须首先关注这个私人账户,才能访问用户的feed和故事,但这个漏洞和利用它的容易程度代表着Instagram隐私和安全团队的疏忽。

BuzzFeed称,即使帖子被删除,这些url仍然会从Facebook服务器上检索图片。无论是发布到feed的照片,还是24小时后删除的故事,似乎都是如此。BuzzFeed表示,私人故事的url会在过期后的几天内返回该故事。该报告还指出,同样的方法也适用于检索Facebook上的私人帖子和照片的url,尽管Verge还无法独立验证这一点。

Instagram没有立即回应置评请求。

来源:theverge

【如果您有新闻线索,欢迎向我们报料,一经采纳有费用酬谢。报料微信关注:ihxdsb,报料QQ:3386405712】

评论 0

  • 还没有添加任何评论,快去APP中抢沙发吧!

我要评论

猜你喜欢

去APP中参与热议吧