«صورك وفيديوهاتك ليست خاصة بك».. ثغرة خطيرة تخترق «إنستجرام»

تعاني منصة مشاركة الصور "إنستجرام" من ثغرة أمنية خطيرة في كيفية تعاملها مع الحسابات الخاصة، بحيث أن الصور ومقاطع الفيديو المنشورة على الحسابات الخاصة ليست خاصة كما قد تبدو.

 

ويوضح تقرير صادر عن موقع "BuzzFeed" كيف يمكن الوصول إليها وتنزيلها ونشرها بشكل عام من قبل الأصدقاء والمتابعين، بحيث أن هذه الخطوة لا تتطلب سوى فهم بدائي للغة (HTML) ومتصفح ويب.

 

ويجري ذلك من سلسلة نقرات الفأرة على أي مستعرض، ويب للكشف عن عنوان (URL) الثابت للمشاركات والقصص الخاصة المخزنة مؤقتًا على خوادم فيسبوك.

 

ويمكن لأي شخص استخدام مستعرض ويب، مثل جوجل كروم، لفحص التعليمات البرمجية المصدرية على إحدى صفحات الويب باستخدام أداة "فحص العناصر".

 

ومن خلال الدخول إلى قسم "Img" في رأس الشبكة، يمكن العثور على عنوان (URL) لأي صورة إنستجرام تم النقر عليها، سواء كانت قصة تختفي أو صورة منشورة في خلاصة المستخدم.

 

ويمكن بعد ذلك مشاركة عنوان (URL) هذا وعرضه بواسطة أي شخص، بما في ذلك الأشخاص الذين لا يتابعون الحساب الخاص المعني.

 

ووفقًا للاختبارات، فإنه بالإمكان عرض ملفات (JPEG) و (MP4) من الخلاصات والقصص الخاصة وتنزيلها ومشاركتها بهذه الطريقة.

 

وقال متحدث باسم فيسبوك: السلوك الموصوف هنا هو نفسه التقاط لقطة شاشة لصورة أحد الأصدقاء على فيسبوك وإنستغرام ومشاركتها مع أشخاص آخرين، وهو لا يتيح للأشخاص الوصول إلى الحساب الخاص لشخص ما.

 

وبالإضافة إلى الكشف عن عناوين (URL) الثابتة للصور المنشورة على حساب خاص، فإن هذه الطريقة تتيح أيضًا سحب عناوين (URL) لصور حساب مستخدمي إنستغرام الآخرين الذين ربما تفاعلوا مع هذا المنشور وربما تكون حساباتهم خاصة أيضًا.

 

ويوضح التقرير أنه يجب في البداية متابعة الحساب الخاص من أجل الوصول إلى خلاصات المستخدم وقصصه، لكن الخلل وسهولة استغلاله يمثلان فشلا غير مقصود من قبل فرق الخصوصية والأمن في إنستجرام.

 

وتستمر عناوين (URL) في استرداد الصور من خوادم فيسبوك حتى بعد حذف المنشورات، وذلك بالنسبة للصور المنشورة في الخلاصة وللقصص التي تحذف بعد 24 ساعة.

 

وتسمح عناوين (URL) الخاصة بالقصص بإعادة عرضها لعدة أيام بعد تاريخ انتهاء الصلاحية.

 

ويذكر التقرير أن الطريقة نفسها تعمل على استرداد عناوين (URL) لمشاركات وصور فيسبوك الخاصة.