นักวิจัยด้านความปลอดภัย Jatin Banga ได้เปิดเผยหลักฐานโดยละเอียดว่าบัญชี Instagram ส่วนตัวบางบัญชีมีการรั่วไหลลิงก์รูปภาพของผู้ใช้ให้กับผู้เข้าชมที่ไม่ผ่านการตรวจสอบสิทธิ์ผ่านการตอบสนองของ HTML ซึ่งถือเป็นการละเมิดฟังก์ชันความเป็นส่วนตัวของบัญชีส่วนตัว Instagram Meta ซึ่งเป็นบริษัทแม่ ได้แก้ไขปัญหานี้อย่างเงียบๆ หลังจากที่ได้รับรายงาน แต่กลับปิดเคสโดยระบุว่า ‘ไม่สามารถใช้ได้’ และปฏิเสธที่จะยอมรับว่าเป็นช่องโหว่ โดยอ้างว่าเป็น ‘ผลข้างเคียงที่ไม่ตั้งใจ’ จากการแก้ไขปัญหาอื่น นักวิจัยได้เน้นย้ำถึงความขาดความโปร่งใสของ Meta ในการจัดการกับช่องโหว่ด้านความเป็นส่วนตัวที่สำคัญนี้
Severity: สูง
System Impact:
- Instagram (แพลตฟอร์ม)
- Meta (บริษัทแม่)
- โปรไฟล์ผู้ใช้ Instagram ส่วนตัว
- CDN (เครือข่ายส่งข้อมูล)
Technical Attack Steps:
- ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงโปรไฟล์ Instagram ส่วนตัวจากอุปกรณ์มือถือบางประเภท
- แม้ว่าจะแสดงข้อความ ‘บัญชีนี้เป็นส่วนตัว’ แต่โค้ด HTML ในการตอบสนองของเซิร์ฟเวอร์สำหรับโปรไฟล์ที่ได้รับผลกระทบจะฝังออบเจกต์ JSON (polaris_timeline_connection) ไว้
- ออบเจกต์ JSON นี้มีลิงก์ CDN ที่เข้ารหัสไปยังรูปภาพและคำบรรยายใต้ภาพส่วนตัว ซึ่งควรเข้าถึงได้เฉพาะผู้ติดตามที่ได้รับการอนุมัติเท่านั้น
- ลิงก์เหล่านี้สามารถนำไปใช้ในการเข้าถึงรูปภาพส่วนตัวได้โดยไม่ต้องมีการตรวจสอบสิทธิ์
- นักวิจัยระบุว่านี่เป็นความล้มเหลวในการตรวจสอบสิทธิ์ฝั่งเซิร์ฟเวอร์
Recommendations:
Short Term:
- สำหรับผู้ใช้: ตรวจสอบการตั้งค่าความเป็นส่วนตัวบนแพลตฟอร์มโซเชียลมีเดียอย่างสม่ำเสมอ
- สำหรับผู้ใช้: ตระหนักว่าแม้การตั้งค่า ‘ส่วนตัว’ ก็อาจมีข้อบกพร่องได้
Long Term:
- สำหรับ Instagram/Meta: ปรับปรุงการประเมินช่องโหว่ภายในและการสื่อสารโปรแกรม Bug Bounty
- สำหรับ Instagram/Meta: ดำเนินการวิเคราะห์หาสาเหตุที่แท้จริงสำหรับช่องโหว่ที่รายงานอย่างละเอียด
- สำหรับ Instagram/Meta: ปรับปรุงการตรวจสอบสิทธิ์ฝั่งเซิร์ฟเวอร์ให้แข็งแกร่งขึ้น
- สำหรับผู้ใช้: ใช้ความระมัดระวังในการแบ่งปันข้อมูลที่ละเอียดอ่อนบนแพลตฟอร์มออนไลน์ใดๆ แม้จะมีคุณสมบัติความเป็นส่วนตัว
- สำหรับผู้ใช้: ติดตามข่าวสารเกี่ยวกับการละเมิดข้อมูลสำหรับแพลตฟอร์มที่ใช้งาน
Share this content: