Mayur Fartade氏は6月15日(米国時間)、Instagramにおいてプライベートアカウントによってアーカイブされた投稿/ストーリーの内容が第三者からフォローせずに見られるバグを発見したとして、その詳細をMediumの記事「」で公開した。この問題は2021年4月16日にFacebookのセキュリティチームに報告されており、その後Facebookは6月15日にバグの修正を完了した。

悪意のあるユーザーがこのバグを悪用すると、対象のユーザをフォローしなくても、プライベートにアーカイブされた投稿やストーリー、リール、IGTVの詳細を閲覧することができるという。閲覧できる情報には、likeいいね数やコメント数、保存数、表示URL、画像のURI、InstagramアカウントにリンクされたFecebookページなどが含まれる。

  • 攻撃によって取得できた情報の例 ー 画像: Fartade氏のレポートより

    攻撃によって取得できた情報の例  引用: Fartade氏のレポート

攻撃にあたっては、事前に対象の画像やビデオ、アルバムに関連付けられたメディアIDを知る必要があるものの、実際にはブルートフォース(総当たり)によってGraphQLエンドポイントへのPOSTリクエストを作成し、特定のメディアに関する情報を取得できたとのことだ。

Fartade氏は最初の報告を行った後の4月23日に、同じ情報を取得可能な2つ目のエンドポイントを発見したとして、追加の報告を行っている。Facebookでは、これらの2つのエンドポイントを変更することでこの問題に対処した。

Fartade氏はまた、この貢献によって、Facebookのバグ報奨金プログラムの一環として3万ドルを授与されたことも報告している。