看我！挖到了一个3万美元的 Instagram 漏洞

我叫 Mayur Fartade，来自印度马哈拉施特拉邦，这是我第一次参加 Facebook 漏洞奖励计划。

说明

    Discription

该 bug 本可导致恶意用户查看 Instagram 上的目标 Media，无需 follow 用户即可通过 Media ID 查看用户的私密/归档帖子、故事、reel、IGTV 等，详情包括 点赞/评论/收藏数、display_url、image.uri和 Facebook 关联的页面（如有）等。

影响

      impact

用户数据可遭不当读取。攻击者可重新生成归档故事和帖子的有效cdn url。同时通过暴力攻击 Media ID，攻击者还能够存储特定 media 的详情以及私密和归档的过滤器。

复现步骤

     Repro steps

1、通过暴力攻击或其它技术获取目标的 post/reel/IGTV/story media id

2、向 https://i.instagram.com/api/v1/ads/graphql/ 发送 POST 请求

参数

doc_id=[REDACTED]&query_params={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]”}}

3、 [MEDIA_ID] 是任意 post/reel/IGTV/story 的 media_id。Doc_id 为节选修订。

4、响应中披露了某个特定 media 的 display_url、save_count 及其它详情。

几天后，我发现 doc_id=[REDACTED] 的另外一个端点披露了同样的信息。Access_token 通过 POST 请求传递，因此当我尝试访问不同账户的 media’s 时，获得了响应中的 data:null。

步骤

1、向 https://i.instagram.com/api/v1/ads/graphql/ 发送 POST 请求

参数

access_token=[REDACTED]&variables={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]”},”fetch_actor_id”:false}&server_timestamps=true&doc_id=[REDACTED]

[MEDIA_ID] 是任意 post/reel/IGTV/story 的 media_id。

doc_id 被编校。

不含其它参数。

access_token 是有效的 Facebook 访问令牌。

响应如下：

2、 当我将 access_token 修改为 null 时，获得对该信息的访问权限。

另外，通常的端点披露了和 Instagram 账户关联的 Facebook Page，但 Facebook 页面和 Instagram 账户链接被公开。具体可见：

https://www.facebook.com/ads/library/?active_status=all&ad_type=all&country=US&view_all_page_id=PAGE_ID&search_type=page

PAGE_ID 是 Facebook 的页面 ID。

参数：

access_token=null&variables={“query_params”:{“access_token”:””,”id”:”[MEDIA_ID]”},”fetch_actor_id”:false}&server_timestamps=true&doc_id=[REDACTED]

响应：

修复方案

     Fix

Instagram 已更改上述端点。

时间轴

      Timeline

• 2021年4月16日：发送漏洞报告

• 2021年4月19日：获得 Facebook 安全团队的回复，需要更多信息

• 2021年4月19日：发送信息

• 2021年4月22日：诊断报告

• 2021年4月23日：发现披露同样信息的另一个端点

• 2021年4月29日：漏洞修复

• 2021年4月29日：漏洞未完全修复，向 Facebook 安全团队发送信息。

   ——交换了一些信息——

• 2021年6月15日：漏洞修复并获得3万美元赏金