الصفحات
بحث
تحذير: ثغرة في إنستغرام تكشف صور الحسابات الخاصة (2025)
وسائل التواصل الاجتماعي #إنستغرام #أمن_المعلومات

تحذير: ثغرة في إنستغرام تكشف صور الحسابات الخاصة (2025)

منذ يومين 14 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
14 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف باحث أمني عن أدلة تفصيلية تؤكد أن بعض الحسابات الخاصة (Private Profiles) على منصة إنستغرام كانت تسرب روابط صور المستخدمين للزوار غير المسجلين، في ثغرة أمنية أثارت جدلاً واسعاً حول خصوصية البيانات واستجابة الشركات التقنية.

تفاصيل تسريب الصور الخاصة

أظهر الباحث الأمني "جاتين بانغا" (Jatin Banga) كيف كانت بعض الملفات الشخصية الخاصة في إنستغرام تسرب روابط للصور الخاصة مباشرة داخل جسم استجابة HTML. وفقاً للباحث، عند الوصول إلى هذه الحسابات من أجهزة محمولة محددة، كان الكود المصدري للصفحة يحتوي على روابط للصور والتعليقات، رغم ظهور الرسالة القياسية التي تفيد بأن الحساب خاص.

وفي المثال الذي قدمه الباحث، احتوى كائن JSON المسمى "polaris_timeline_connection" في كود HTML على روابط مشفرة لصور مستضافة على شبكة توصيل المحتوى (CDN)، وهي صور لم يكن من المفترض الوصول إليها إلا للمتابعين المعتمدين.

نطاق التأثير والاختبار

أجرى بانغا اختباراته على حسابات تجريبية خاصة أنشأها بنفسه أو حصل على إذن صريح لاستخدامها، ووجد أن ما لا يقل عن 28% من هذه الحسابات كانت تعيد تعليقات وروابط لصور خاصة في استجابة الخادم. ويوضح الفيديو الذي شاركه الباحث إثباتاً عملياً لهذه الثغرة وكيفية تسريب البيانات.

رد فعل شركة ميتا المثير للجدل

أفاد الباحث أنه شارك نتائجه مع شركة "ميتا"، الشركة الأم لإنستغرام، في 12 أكتوبر 2025. في البداية، صنفت ميتا المشكلة على أنها مشكلة في التخزين المؤقت (CDN Caching)، وهو ما نفاه الباحث مؤكداً أن المشكلة تكمن في فشل الخوادم في التحقق من التفويض (Authorization) قبل إرسال البيانات.

ورغم أن الثغرة توقفت عن العمل بحلول 16 أكتوبر، مما يشير إلى إصلاحها، إلا أن ميتا أغلقت التقرير بعبارة "غير قابل للتطبيق" (Not Applicable)، مدعية عدم القدرة على تكرار المشكلة. وصرح أحد محللي الثغرات في ميتا قائلاً: "حقيقة إصلاح مشكلة غير قابلة للتكرار لا تغير حقيقة أنها لم تكن قابلة للتكرار في ذلك الوقت".

لماذا نشر الباحث التفاصيل؟

أكد بانغا لموقع BleepingComputer أنه تخلى عن أي فرصة للحصول على مكافأة مالية (Bug Bounty) من أجل الشفافية. وقال: "ميتا أصلحت تسريباً خطيراً للخصوصية بعد 48-96 ساعة من تقريري لكنها رفضت الاعتراف به... إهمالهم وترددهم في التحقيق في السبب الجذري رغم امتلاكهم للسجلات هو المشكلة الحقيقية".

تجدر الإشارة إلى أن موقع BleepingComputer تواصل مع ميتا للتعليق ثلاث مرات منفصلة قبل النشر، لكنه لم يتلق أي رد.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##إنستغرام ##أمن_المعلومات ##خصوصية ##Meta

الأسئلة الشائعة

حدث التسريب عبر الكود المصدري (HTML) للصفحة عند زيارتها من أجهزة محمولة محددة، حيث ظهرت روابط الصور رغم أن الحساب خاص.

نعم، توقفت الثغرة عن العمل بحلول 16 أكتوبر 2025، لكن الشركة لم تعترف بها رسمياً ووصفتها بأنها غير قابلة للتكرار.

نشر الباحث التفاصيل بهدف الشفافية بعد أن أغلقت ميتا تقريره دون اعتراف واضح بالمشكلة أو دفع مكافأة، ولتوضيح الخطر الأمني.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!