Instagram: falla di sicurezza permette di condividere storie e post privati

di Solarim · 10 Settembre 2019

Instagram ha una falla di sicurezza nel modo in cui gestisce i post degli account che hanno settato il loro profilo privato, riporta BuzzFeed. Il report illustra come una serie di click su qualsiasi browser può esporre l’URL di post e storie private “cachate” nei server di Facebook.

Chiunque può usare un browser, come Google Chrome, per ispezionare il codice sorgente di una pagina usando lo strumento “Ispeziona”. Andando nella sezione “Img” dell’intestazione del Network, potrai trovare l’URL di qualsiasi immagine su cui clicchi, che sia una storia od un post. L’URL può essere condiviso e visto da chiunque, incluse le persone che non seguono l’account privato in questione.

Oltre a rivelare l’URL delle foto postate da un account privato, lo stesso trucchetto del codice sorgente ti permette di estrapolare l’URL delle foto profilo di utenti Instagram che potrebbero aver interagito con quel post e possedere anch’essi un account privato. Ovviamente devi seguire l’account privato in primo luogo per avere accesso ai feed e le storie, ma la falla e la facilità di esposizione rappresenta una svista alle norme di privacy e di sicurezza di Instagram.

Secondo BuzzFeed, questi URL continueranno a ricavare le immagini dai server di Facebook anche dopo essere stati eliminati. Questo sembra essere vero sia per le i post che per le storie, che si autoeliminano dopo 24 ore. BuzzFeed afferma che l’URL per le storie private continuerà a restituire la storia per diversi giorni anche dopo la scadenza. Il report asserisce anche che questo metodo funziona allo stesso modo su Facebook, ma noi non lo abbiamo potuto verificare.

Secondo Facebook, questo tipo di comportamento, ovvero cercare l’URL di una foto privato così da poter essere condiviso facilmente, non differisce da quello di fare uno screenshot. La compagnia afferma che non ritiene di vedere nessun abuso relativo a questa funzione del network. “Questo comportamento non è diverso da quello di fare uno screenshot di una foto di un amico su Facebook e Instagram e condividerla con altre persone. Non fornisce l’accesso all’account privato di una persona”. Un portavoce di Facebook.