O Facebook recompensou com US$ 30 mil – aproximadamente R$ 152,6 mil – o pesquisador Mayur Fartade por descobrir e relatar um conjunto de bugs no Instagram.
O chamado endpoints (ou nó na rede) permitia que os usuários visualizassem conteúdo privado sem seguir de fato a conta, tornando os recursos de privacidade da rede vulneráveis.
Segundo o tabloide ZDNet, foram detectados dois erros na rede que possibilitavam a um invasor acesso a postagens privadas e arquivadas do feed, stories, IGTV e reels. Além do invasor conseguir extrair dados confidenciais sobre uma conta privada sem ser aceito como seguidor, também era possível extrair as páginas do Facebook vinculadas ao Instagram.
O pesquisador, que também relatou a descoberta em seu blog, explicou que o erro funcionava a partir do acesso ao ID de mídia do usuário que, lançado ao terminal GraphQL do Instagram, expunha URLs de exibição e URLs de imagem, bem como todos os registros que deveriam ser privados. Fartade comunicou o erro ao Facebook no dia 16 de abril e o segundo no dia 22 do mesmo mês. Em 29 de abril a empresa corrigiu os bugs de privacidade.
O rapaz, que participa do programa de recompensas da rede social, que permite que usuários ajudem a empresa a encontrar erros nas plataformas, deve receber a quantia ainda em junho. A equipe de segurança do Facebook agradeceu ao jovem pelo relatório com as descobertas.
Vazamento de dados
Em abril, foi revelado um megavazamento de dados do Facebook de 2019 que colocou em risco não apenas a privacidade dos usuários, mas do próprio criador da rede social, Mark Zuckerberg. Entre as informações disponíveis estavam os locais onde o CEO fez login em sua conta, detalhes sobre seu casamento e sua identificação de usuário de um perfil privado. Os dados vazados ficaram disponíveis, inclusive, em fóruns de hackers.