Mayur Fartade氏は6月15日(米国時間)、Instagramにおいてプライベートアカウントによってアーカイブされた投稿/ストーリーの内容が第三者からフォローせずに見られるバグを発見したとして、その詳細をMediumの記事「」で公開した。この問題は2021年4月16日にFacebookのセキュリティチームに報告されており、その後Facebookは6月15日にバグの修正を完了した。
悪意のあるユーザーがこのバグを悪用すると、対象のユーザをフォローしなくても、プライベートにアーカイブされた投稿やストーリー、リール、IGTVの詳細を閲覧することができるという。閲覧できる情報には、likeいいね数やコメント数、保存数、表示URL、画像のURI、InstagramアカウントにリンクされたFecebookページなどが含まれる。
攻撃にあたっては、事前に対象の画像やビデオ、アルバムに関連付けられたメディアIDを知る必要があるものの、実際にはブルートフォース(総当たり)によってGraphQLエンドポイントへのPOSTリクエストを作成し、特定のメディアに関する情報を取得できたとのことだ。
Fartade氏は最初の報告を行った後の4月23日に、同じ情報を取得可能な2つ目のエンドポイントを発見したとして、追加の報告を行っている。Facebookでは、これらの2つのエンドポイントを変更することでこの問題に対処した。
Fartade氏はまた、この貢献によって、Facebookのバグ報奨金プログラムの一環として3万ドルを授与されたことも報告している。