Instagram如何处理私人账户的严重缺陷?据BuzzFeed今天报道,Instagram在处理已设置为私有帐户的帖子方面存在安全漏洞。该报告说明了在任何Web浏览器上进行的一系列鼠标点击如何显示在Facebook服务器上缓存的私人帖子和故事的持久性URL。
任何人都可以使用网络浏览器(如Google Chrome)使用“Inspect Elements”工具检查网页上的源代码。通过切换到网络标题的“Img”部分,您可以找到您点击过的任何Instagram图片的网址,无论是消失的故事还是发布到用户Feed的照片。然后,可以共享该URL,并且任何人都可以查看该照片,包括不关注相关私人帐户的人。
INSTAGRAM的私有版本不是那么私密
Verge能够独立验证此过程确实有效。这个过程有点挑剔,但通常通过重新加载私人帐户的页面(在这种情况下,我自己)并加载“Img”部分,我能够找到正确的URL并确认它可以公开共享。图像的预览甚至加载在像Slack这样的聊天应用程序中。我们还确认另一位用户能够找到相同的网址,以排除Instagram仅向查看自己私人帐户的用户提供此类数据的可能性。
除了显示发布到私人帐户的照片的持久性URL之外,相同的源代码技巧还允许您为可能与该帖子进行过互动并且可能将其帐户设置为私有的其他Instagram用户的个人资料照片拉取URL。当然,您必须首先关注私人帐户才能访问用户的供稿和故事,但是利用它的缺陷和易用性代表了对Instagram的隐私和安全团队的监督。
据BuzzFeed称,即使帖子被删除,这些URL仍将从Facebook服务器检索图像。对于发布到Feed和故事的照片,这似乎都是正确的,这些照片会在24小时后删除。BuzzFeed表示私人故事的网址将在到期日后的多天内返回故事。该报告还指出,相同的方法适用于检索私人Facebook帖子和照片的URL,尽管The Verge尚未能够独立验证。
根据Facebook的说法,这种类型的行为 - 寻找私人照片的网址,以便更容易公开分享 - 与截取pos的截图并无不同。该公司表示,它没有看到任何与其网络功能相关的滥用行为。“这里描述的行为与在Facebook和Instagram上拍摄朋友照片的屏幕截图并与其他人分享相同。它不会让人们访问一个人的私人账户,“公司发言人告诉The Verge。