Güvenlik araştırmacısı Jatin Banga tarafından bu hafta yayınlanan bir açıklamaya göre, Instagram’ın altyapısındaki kritik bir sunucu tarafı güvenlik açığı, kimliği doğrulanmamış saldırganların, oturum açma veya takipçi ilişkisi olmadan özel fotoğraflara ve altyazılara erişmesine izin verdi.
Meta tarafından Ekim 2025’te sessizce yamalandığı bildirilen güvenlik açığı, mobil web arayüzündeki gizlilik kontrollerini atlamak için belirli bir HTTP üstbilgisi yapılandırmasına dayanıyordu.
“Polaris” İstismar Mekanizması
Güvenlik açığı, basit bir önbellekleme hatasından ziyade, Instagram’ın sunucu tarafı yetkilendirme mantığındaki bir hatadan kaynaklandı. Banga, kimliği doğrulanmamış bir e-postanın gönderildiğini keşfetti. ELDE ETMEK talep etmek instagram.com/
Normal şartlarda bu nesnenin boş olması veya takipçi olmayanların görüntülediği özel hesaplar için kısıtlanmış olması gerekir. Ancak etkilenen hesaplar için sunucu tam bir sonuç döndürdü kenarlar özel medyaya ve bunlarla ilişkili altyazılara doğrudan İçerik Dağıtım Ağı (CDN) bağlantıları içeren dizi.
İş Akışından Yararlanma:
- Rica etmek: Saldırgan başlıkla değiştirilmiş bir mesaj gönderir ELDE ETMEK özel bir profil isteğinde bulunun.
- Cevap: Sunucu, gömülü JSON verilerini içeren HTML’yi döndürür.
- Ekstraksiyon: polaris_timeline_connection nesneyi bulmak için ayrıştırılır kenarlar sıralamak.
- Erişim: Yüksek çözünürlüklü resimlere ve gönderi ayrıntılarına, açığa çıkan CDN URL’leri aracılığıyla erişilir.
Bu “şartlı” hata her hesabı etkilemedi. Testlerde, yetkili test hesaplarının yaklaşık %28’i savunmasız durumdayken, diğerleri güvenli yanıtlar verdi; bu da sızıntıyı tetiklemek için belirli bir arka uç durumunun veya “bozuk” oturum yönetiminin gerekli olduğunu öne sürdü.
Sessiz Yamanın Zaman Çizelgesi
Açıklamada Meta’nın hata ödül programıyla 102 günlük çekişmeli bir etkileşim özetleniyor. Banga, Kavram Kanıtı (PoC) komut dosyası ve video kanıtlarını içeren ilk raporu 12 Ekim 2025’te sundu.
Sorunun CDN’nin önbelleğe alınmasından kaynaklandığı iddiasıyla ilk reddedilmenin ardından Meta, belirli hassas hesapların doğrulanması için talepte bulundu. 14 Ekim’de Banga, rıza gösteren bir üçüncü taraf hesabı sağladı (onun_prathambanga) istismarın başarıyla yeniden üretildiği yer.
İki gün sonra, 16 Ekim’de, güvenlik açığı bulunan tüm hesaplarda bu açıktan yararlanma işlemi durduruldu; bu, sunucu tarafı bir yamanın dağıtıldığını gösteriyor. Ancak Meta, düzeltmeyle ilgili herhangi bir bildirimde bulunmadı.
Sessiz yamaya rağmen Meta, sorunu “yeniden oluşturamadıklarını” belirterek raporu 27 Ekim’de “Geçerli Değil” olarak resmen kapattı.
Çelişki konusunda itiraz edildiğinde, savunmasız hesapların istenmesi ve ardından bunların düzeltilmesi, Meta’nın güvenlik ekibi düzeltmenin diğer altyapı değişikliklerinin “istenmeyen bir yan etkisi” olabileceğini söyledi.
Kapanış, temel neden analizinin yapılmaması nedeniyle eleştirilere hedef oldu. Spesifik kusuru kabul etmeden, temeldeki yetkilendirme hatasının kalıcı olarak çözülüp çözülmediği veya yalnızca bir yapılandırma değişikliği nedeniyle gizlenip gizlenmediği belirsizliğini koruyor.
Banga, akran incelemesini kolaylaştırmak için teknik analizin tamamını, ağ günlüklerini ve Python PoC komut dosyasını GitHub’da yayınladı. Sürüm, bağımsız güvenlik araştırmacılarını yapıları incelemeye ve bulguları doğrulamaya davet ediyor.
Banga, raporunda “Bazı hesapları açığa çıkaran ancak diğerlerini açığa çıkarmayan koşullu bir hatanın herkesi etkileyen bir hatadan daha tehlikeli olduğu tartışılabilir” dedi. “’Altyapı değişiklikleri’ ile bunu göz ardı etmek güven vermiyor”.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
