Instagramにおいて、非公開アカウントの投稿に対して完全に未認証のアクセスを可能にしたとされるサーバーサイドの脆弱性。
これは、Metaの脆弱性開示対応の取り扱いと、ユーザーのプライバシーを保護する代替的な統制の有効性に対する懸念を提起している。
技術概要
開示内容によれば、この脆弱性はInstagramのモバイルウェブインターフェースに存在し、悪用に認証やフォロー関係を必要としなかった。
攻撃は、特定のモバイル用ヘッダーを付与して、 instagram.com/<private_username> に未認証のGETリクエストを送信することで成立した。
サーバーは、埋め込みのJSONデータ構造を含むHTMLを返し、具体的には polaris_timeline_connection オブジェクトに、フル解像度の非公開写真、キャプション、その他の制限コンテンツへのCDNリンクが含まれていた。
研究者は、これをコンテンツ配信ネットワーク(CDN)のキャッシュ問題ではなく、サーバーサイドの認可不備だと位置づけた。
許可された7つのアカウントでのテストでは、テスト対象の約28%のアカウントが影響を受けることが判明したが、研究者は偶発的な発見パターンに基づき、実際の悪用可能率はより高い可能性があると示唆している。
研究者は、2025年10月12日にMetaのバグバウンティプログラムへ初回報告を提出した。
Metaの最初の回答は、この問題をCDNキャッシュの副産物として誤分類し、ケースをクローズした。同日に提出された2回目の報告では、認可不備である点を明確化した後、Metaが対応に入った。
2025年10月16日までに、詳細な技術的証拠が提供されてからわずか4日後、脆弱だったすべてのアカウントで脆弱性が機能しなくなり、Metaが修正を適用したことを示している。
しかし、Metaは修正を明確に確認することも、脆弱性の存在を認めることもなかった。
10月27日、Metaは公式に「この問題を再現できない」と回答した。にもかかわらず、Metaは研究者に脆弱なテストアカウントの提供を求め、その後まさにそれらのアカウントを修正していた。
Metaは、この修正を狙った是正措置ではなく、無関係なインフラ変更による意図しない結果だと説明した。
研究者は、タイムスタンプ付きの動画証拠、概念実証スクリプト、修正前後のスクリーンショット、HTTPヘッダーを含むネットワークログ、およびMetaとの完全なやり取りによって、この脆弱性を文書化した。
すべての証拠は、暗号学的な完全性検証とともにGitHubへコミットされ、事後的な改ざんを防止した。
この開示は3つの主要な懸念を提起した。Metaが内部トレースのために提供されたデバッグデータとX-FB-Debugヘッダーを辞退したこと、脆弱性が条件付きで発生する性質を理解するための比較アカウント分析データセットを拒否したこと、そして恒久的な是正を確認するための目に見える根本原因分析を実施しなかったことである。
研究者のJatin Bangaは、標準の90日ウィンドウを超える、協調開示の試み102日後に公に開示した。
Instagramは10億人を超えるユーザーにサービスを提供しており、アカウントのプライバシー設定はバックエンドの認可強制に依存している。そのため、予測不能なアカウントの一部に影響する条件付きの脆弱性は、普遍的に悪用できる脆弱性と比べても特に危険である。
翻訳元: https://gbhackers.com/instagram-investigates-reported-vulnerability/
