Detectouse unha vulnerabilidade crítica na infraestrutura de Instagram que permitiu o acceso non autenticado a publicacións privadas (imaxes e textos) de determinadas contas, sen necesidade de iniciar sesión nin manter relación de seguimento coas persoas afectadas.
A incidencia foi causada por un fallo na lóxica de autorización no lado do servidor, e non por un erro de caché, permitindo eludir os controis de privacidade en condicións específicas.
Sistemas afectados
- Plataforma: Instagram
- Interfaces afectadas: versión web móbil
- Tipo de contas: contas privadas en determinados estados de configuración
A vulnerabilidade permitía que un atacante realizase solicitudes HTTP GET non autenticadas a perfís privados, utilizando cabeceiras específicas de axente de usuario móbil. Como resposta, o servidor devolvía un obxecto JSON interno (polaris_timeline_connection) que incluía:
- Ligazóns directas CDN a contido multimedia privado
- Textos asociados ás publicacións
- Metadatos normalmente restrinxidos a seguidores autorizados
En condicións normais, este obxecto debería estar baleiro ou restrinxido cando o perfil é privado e o solicitante non está autorizado.
Fluxo de explotación (resumo)
- Envío dunha solicitude GET manipulada a un perfil privado
- Resposta do servidor con datos embebidos en formato JSON
- Extracción do obxecto interno con referencias a contido privado
- Acceso directo ás imaxes e detalles da publicación a través de CDN
As probas indican que aproximadamente un 28 % das contas analizadas resultaron vulnerables, dependendo do estado interno da sesión e da configuración do backend.
Clasificación
- Tipo: Vulnerabilidade de autorización no lado do servidor
- Impacto principal: Confidencialidade
- CVE asignado: Non existe CVE público asociado
- Severidade: Alta
- Motivo: Exposición directa de contido privado sen autenticación
Estado actual
- A vulnerabilidade foi corrixida no lado do servidor mediante un parche silencioso
- Non se publicou aviso oficial detallado nin análise da causa raíz
- O erro deixou de ser reproducible tras a corrección aplicada
Riscos
- Exposición non autorizada de contido privado
- Impacto directo na privacidade das persoas usuarias afectadas
- Dificultade para detectar a explotación por parte das vítimas
Recomendacións
- Revisar periodicamente a configuración de privacidade das contas
- Limitar a exposición de contido sensible en redes sociais
- Empregar medidas adicionais de protección de identidade dixital
- Seguir as comunicacións oficiais da plataforma sobre cambios de seguridade
- Incorporar este tipo de riscos nas avaliacións de impacto e concienciación
Consideracións adicionais
Esta incidencia evidencia os riscos asociados a fallos de autorización no lado do servidor, especialmente cando afectan a plataformas de gran escala. As correccións silenciosas, sen comunicación transparente, dificultan a avaliación real do impacto e a aprendizaxe colectiva en materia de seguridade.
A xestión da privacidade en servizos dixitais require non só configuracións correctas por parte das persoas usuarias, senón tamén controles robustos e verificables no deseño das plataformas.
