08 Ottobre 2019
Instagram ha un bug di sicurezza che permette di condividere pubblicamente una Storia o un post privato. L'hack non è per niente difficile da condurre: bastano un browser Web per sistemi desktop, qualche click e imparare la procedura, che è stata scoperta da BuzzFeed. Semplificando, basta usare lo strumento di ispezione del codice della pagina (di solito click con il tasto destro > Ispeziona), dirigersi alla sezione IMG ed estrapolare l'URL del contenuto.
Questo URL è accessibile a chiunque, a prescindere dalle impostazioni di privacy specificate dall'autore. Non è nemmeno necessario essere dei follower - in effetti non serve nemmeno avere un account Instagram. Quindi dev'essere un follower, o in generale qualcuno che ha accesso ai contenuti privati, che fa partire il leak, ma il potenziale distruttivo è altissimo - specialmente se si calcola che funziona anche con i post e le Storie cancellate, vuoi perché eliminate manualmente dall'utente o perché avevano un "timer di autodistruzione". BuzzFeed ha detto di essere riuscito a recuperare contenuti cancellati "diversi giorni prima".
Sfruttando sempre lo stesso strumento di ispezione, BuzzFeed dice che è stato possibile anche estrarre le foto del profilo di utenti Instagram e i post di Facebook. The Verge osserva tuttavia di non aver concluso con successo l'operazione in quest'ultimo scenario. Per Facebook, in ogni caso, non è un problema particolarmente grave: l'hack viene paragonato alla cattura di uno screenshot di un post. Facebook osserva inoltre che l'hack non garantisce l'accesso ad account non autorizzati.
Insomma, a prescindere dalla moralità di una risposta del genere da parte di una compagnia che ha promesso una rivoluzione basata sulla privacy, la lezione di fondo è che bisogna fare molta attenzione a ciò che si pubblica online anche se in modalità privata.
Commenti
Io uso un altro metodo visto che non seguii nessun tutorial ma lo "scoprii" da solo giocando con le modalità ispeziona. Con la modalità ispeziona uso la modalità di selezione elemento con la freccia ( in alto a sinistra c'è un quadratino con una freccia), con quello clicco il post da voler scaricare quindi premo il tasto elimina e rifaccio il procedimento, nella sezione del testo dell'ispeziona pagina ci dovrebbero essere dei link, tasto destro e apri in una nuova finestra a boom, pronto da scaricare
Scusa, effettivamente hai ragione è Chrome che mi forniva il base64 dell'immagine. Il punto è che anche se ci fosse l'autenticazione sull'url, avresti comunque la possibilità di ottenere l'immagine originale
Ho seguito le istruzioni indicate ma non ha funzionato.
Puoi dirmi quale è la procedura che hai usato tu?
Grazie
base64 non è l'hash è l'immagine codificata. Prendi il base64 e con un converter hai il binario dell'immagine. Una volta ottenuta la stringa codificata non serve una seconda richiesta al server.
è palese che tu non sappia come funzionano queste cose.
Si ovvio che è un base64, probabilmente un qualche hash dell'immagine, cosa fanno, prendono le immagini e le buttano su un server che staticamente le serve, senza controllare autenticazione e nulla, gli arriva una richiesta con quel base64, guardano se hanno l'immagine e se si la servono, fine, non guardano cookies di autenticazione ne nulla. Questo consente ovviamente di avere server più efficienti e veloci, perché non c'è logica dietro, connessioni al database, quindi problemi di accesso concorrente, ed altro, puoi distribuirli tranquillamente in tutto il mondo, insomma.
Per l'archivio è vero, bisogna vedere se contenuto eliminato significa anche eliminato dall'archivio o meno, se è anceh eliminato dall'archivio è grave.
Sbagli, la il “link” che fornisce Instagram è un base64, questo significa che non è servito statisticamente dal server ma basta essere in possesso di quel testo per ottenere l’immagine. Una volta ottenuta la stringa è impossibile disattivarla.
Instagram non elimina le storie dopo 24, queste restano disponibili all’utente all’infinito. Se non sapete come funziona Instagram, non commentate.
In realtà lo è, basta richiedere l'autenticazione anche per scaricare l'immagine. Ora come ora da quello che si capisce le immagini e i video sono servite da un webserver statico che non controlla che l'utente sia autenticato ed abbia il privilegio per vedere l'immagine stessa, hanno scelto la soluzione più semplice da implementare ma chiaramente meno sicura.
Invece è preoccupante il fatto che si riescano a recuperare contenuti anche eliminati dall'utente, vuol dire che Facebook non elimina effettivamente dai server il contenuto quando te lo elimini (cancella il post dal database, ma l'immagine o video è ancora nei server, e chissà per quanto tempo vi resta, forse a tempo indeterminato).
Con l'url su Instagram, su fb sta salva foto. Errore mio nel costruire la frase.
Questa cosa non è disattivabile da Facebook, quanta ignoranza in questo blog. Delusione.
Si ma fappening 2019/2020 zero??? :-D
Io infatti ormai ho aperto il profilo, tanto non cambia nulla
Cioè per salvare una foto su Facebook fai uno screenshot? Interessante.
Conta che le storie rimangono in un archivio dell'utente a vita, quindi non penso che l'url cambi successivamente alla scadenza delle 24 ore
Facebook dice che non è nulla di che...ora non vorrei mai dare ragione a loro, però effettivamente se l'account è privato da fuori non possono rubare nulla.
Certo grazie al piffero se sei già nei follower puoi farlo. Equivale a fare uno screen e condividerlo. Io con questo metodo salvo foto in cuoi sono taggato senza tutto il contorno di scritte varie.
Nulla di nuovo, su Facebook è la stessa cosa
"L'hack non è per niente difficile da condurre: bastano un browser Web per sistemi desktop, qualche click e imparare la procedura, che è stata scoperta da BuzzFeed." Se va beh la procedura per scaricare le storie e i post da instagram con la funzione ispeziona è vecchia come il mondo, sono anni che la utilizzo.