באג חדש ב- API Instagram רק אותר.
ה- API של Instagram כבר במקום למשך זמן עכשיו. לפני כשמונה חודשים, Instagram פרסם שני תיקוני API בנושאים שדווחו בעבר באמצעות כלי באג שלהם. החרקים היו די תמים בהשוואה לזו זוהתה רק על ידי הדוד Sopas, חוקר אבטחה בבית WebSegura.
הבאג הנוכחי הוא באג הורדה משתקף filename, ומתקיים בתוך API הציבורי Instagram. Sopas גילה את הזרימה כפי שהצליח לייצר קישור להורדת קובץ אשר נראה מתארח בדומיין Instagram לגיטימי.
תזרים API Instagram יכול בנוחות לשרת סייבר בכך שהיא מאפשרת לו להדביק את המערכת של הקורבן באופן הבא: נניח מארחי סייבר קובץ זדוני במיקום של בחירה שיכול להיות קישור לדף שבשליטתו, לדוגמה. הקישור הזדוני ייראה חוקי לחלוטין כאשר התוקף שולח הודעה המכילה מקשרים, המשתמש היה אמון במקור טבעי ולהוריד את הקובץ אשר יופיע כאילו מדובר מתחום Instagram נכון.
בפוסט Sopas כתב ב WebSegura, הוא אמר,
"הפעם מצאתי RFD על Instagram API. אין צורך להוסיף שום פקודה על כתובת האתר כי נשתמש בשדה משתקף מתמיד לעשות את זה. כמו "ביו" שדה על חשבון המשתמש. מה שאנחנו צריכים? אסימון. אל דאגה אנחנו רק צריכים לרשום משתמש חדש כדי לקבל אחד."
ה- API של הציבור Instagram בבעלות פייסבוק, אבל Sopas הסביר כי מהנדסי אבטחת פייסבוק לא השתכנעו כי סוגיות RFD הן פרצות אבטחה חמורות.
וזה, למרות "RFD הוא מאוד מסוכן בשילוב עם התקפות אחרות כמו פישינג או זבל זה עלול להוביל לנזק מסיבי," לפיו, לא פייסבוק, ולא הרבה חברות אחרות לוקחות את סוגיות RFD תחת שיקול רציני.