وسائل التواصل الاجتماعي
#إنستغرام
#أمن_سيبراني
ثغرة في إنستغرام تسرب صور الحسابات الخاصة (تفاصيل خطيرة)
كشف باحث أمني عن أدلة تفصيلية تثبت أن بعض الحسابات الخاصة (Private Profiles) على منصة إنستغرام كانت تسرب روابط مباشرة لصور المستخدمين للزوار غير المصرح لهم، في ثغرة أثارت جدلاً تقنياً مع الشركة الأم.
تفاصيل الثغرة وآلية العمل
من المفترض أن تحمي ميزة الحساب الخاص في إنستغرام الصور ومقاطع الفيديو والقصص بحيث لا يراها إلا المتابعون المعتمدون. ومع ذلك، أظهرت نتائج الباحث الأمني "جاتين بانجا" أنه في حالات معينة، كان محتوى الملف الشخصي الخاص مضمناً في استجابات الخادم المتاحة للجمهور.
عند الوصول إلى حسابات خاصة معينة من أجهزة محمولة محددة، تظهر الرسالة المعتادة: "هذا الحساب خاص". ولكن، وفقاً للباحث، كان كود المصدر HTML لهذه الصفحات يحتوي على روابط لبعض الصور الخاصة مضمنة داخل استجابة الصفحة.
وفي المثال الذي قدمه الباحث، احتوى كائن JSON المسمى polaris_timeline_connection الموجود في كود HTML على روابط CDN مشفرة لصور لم يكن من المفترض الوصول إليها. ويوضح الفيديو الذي نشره الباحث كإثبات للمفهوم (PoC) كيفية حدوث هذا التسريب للبيانات.
ومن خلال قصر الاختبارات الرسمية على ملفات شخصية تجريبية خاصة أنشأها الباحث أو حصل على إذن صريح لاستخدامها، وجد أن ما لا يقل عن 28% من الحسابات كانت تعيد روابط لصور خاصة.
رد شركة Meta والجدل حول الإصلاح
ذكر الباحث أنه شارك نتائجه مع شركة Meta، الشركة الأم لإنستغرام، في وقت مبكر من 12 أكتوبر 2025. في البداية، صنفت Meta المشكلة على أنها مشكلة في التخزين المؤقت لشبكة توصيل المحتوى (CDN)، وهو وصف اعترض عليه الباحث.
وكتب بانجا موضحاً: "لم تكن هذه مشكلة في تخزين CDN المؤقت، بل كان فشلاً في الواجهة الخلفية لإنستغرام في التحقق من التفويض قبل ملء الاستجابة"، واصفاً إياها بفشل في التفويض من جانب الخادم (Server-side authorization failure).
ورغم المناقشات المطولة، أغلقت Meta القضية باعتبارها "غير قابلة للتطبيق" (Not Applicable)، مدعية أن الثغرة غير قابلة للتكرار. ومع ذلك، أشار الباحث إلى أن الثغرة توقفت عن العمل فجأة في حوالي 16 أكتوبر، أي بعد أيام قليلة من إبلاغه عنها.
لماذا لا يوجد أرشيف للثغرة؟
عند سؤال الباحث عن سبب عدم أرشفة الملف الشخصي التجريبي باستخدام خدمات عامة مثل "Wayback Machine" لإثبات وجود الروابط في الكود المصدري، أوضح أن هذه الخدمات لا ترسل "وكيل المستخدم" (User-Agent) الخاص بالهواتف المحمولة والرؤوس البرمجية المطلوبة لتشغيل هذا التسريب من جانب الخادم.
الهدف هو الشفافية لا المكافأة
أكد الباحث أنه لا يسعى للحصول على مكافأة مالية، مشيراً إلى أن هدفه هو الشفافية. وقال في مراسلاته: "قامت Meta بإصلاح تسريب خطير للخصوصية بعد 48-96 ساعة من تقريري لكنها رفضت الاعتراف به، واعتبرته تأثيراً جانبياً غير مقصود".
وأضاف محلل ثغرات في Meta خلال المحادثات: "حقيقة أن مشكلة غير قابلة للتكرار قد تم إصلاحها لا تغير حقيقة أنها لم تكن قابلة للتكرار في ذلك الوقت". وحتى لحظة نشر هذا التقرير، لم ترد Meta على طلبات التعليق الرسمية.
الأسئلة الشائعة
حدث التسريب من خلال كود HTML المصدري للصفحة، حيث ظهرت روابط مباشرة للصور داخل كائن JSON عند زيارة الحساب من أجهزة محمولة محددة.
نعم، توقفت الثغرة عن العمل في 16 أكتوبر 2025، لكن الشركة لم تعترف رسمياً بالخلل وصنفته كـ 'غير قابل للتطبيق'.
لأن أدوات الأرشفة مثل Wayback Machine لا تستخدم 'وكيل المستخدم' (User-Agent) الخاص بالهواتف المحمولة الضروري لتفعيل الثغرة من جانب الخادم.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!