Что произошло?
Издание Buzzfeed сообщило об уязвимости в закрытых инстаграмах. Если подписчик такого профиля зайдет в него через веб-версию и изучит код страницы в браузере, он сможет найти там прямые ссылки на посты, а также на истории аккаунта. Эти ссылки потом может открыть кто угодно, включая тех, кто не подписан на закрытый аккаунт.
Все действительно плохо?
Скопировать адреса фотографий и историй из закрытых инстаграмов могут только люди, которым владелец профиля одобрил подписку. Случайный человек все равно не увидит в закрытом профиле ни историй, ни постов, ни ссылок на них.
Уязвимость можно сравнить со скриншотом. Точно так же любой одобренный подписчик может сделать скриншот истории или поста, а потом отправить его кому угодно. Возможно, скриншот несет больше опасности для приватности аккаунта, потому что на нем есть никнейм и время публикации истории, а на картинке по прямой ссылке их нет.
С помощью метода открывается доступ к аватарам людей, которые лайкнули или прокомментировали посты в закрытом и в любом другом профиле. Это может быть проблемой для тех, кто не хочет, чтобы люди исследовали их аватары. В веб-версии инстаграма аватары пользователей в комментариях имеют маленькое разрешение — всего 32×32 пикселя, но из кода сайта можно получить ссылку на изображение 150×150 пикселей. Возможно, более крупное изображение получится использовать для поиска по картинкам.
По прямым ссылкам из кода страницы изображения и видео открываются даже через несколько дней после того, как они пропали или их удалили. Это было бы опасно, если по этой ссылке получилось бы найти профиль человека, который их выложил. Пока такой возможности нет.
Сложно ли найти прямую ссылку на чужую историю?
Очень просто, смотрите видео.
Что об этом говорят в Instagram?
Представитель Facebook рассказал изданию The Verge, что прямая ссылка на изображение из поста или истории похожа на скриншот. «Это не дает людям доступ к закрытому профилю», — сказал он. Издание Buzzfeed с этим не согласно, поскольку в ссылках есть информация о том, как эта картинка была загружена и какое у нее разрешение. Кроме того, считает Buzzfeed, прямая ссылка доказывает подлинность контента.
Это на самом деле угроза для закрытых профилей?
Да, прямые ссылки дают доступ к закрытой информации, так же, как и скриншоты. Пока эти прямые ссылки нельзя отнести к конкретному профилю, сложно представить, как их можно использовать во вред человеку. То же можно сделать в веб-версии «ВКонтакте»: кликнуть по картинке и еще одним кликом открыть прямую ссылку. В веб-версии фейсбука можно сделать так же. В веб-версии инстаграма это сделать чуть сложнее: нужно открыть код страницы и искать в нем ссылку. Все эти примеры устроены по одному принципу. Подобная уязвимость есть во многих социальных медиа.
Это первый подобный случай?
Quartz писал о той же уязвимости в 2015 году, The Atlantic весной 2019-го писал о том, что точно так же можно получить доступ к закрытым снимкам в фейсбуке.
Похожая уязвимость была в сервисе «Google Фото». Через внутренний инструмент пользователь отправлял ссылку на свою фотографию на почту другу. В интерфейсе функция воспринималась так, будто перейти по этой ссылке сможет только один человек — получатель. Но это мог сделать кто угодно. Возможно, это была ошибка разработчиков, потому что аналогичная функция в «Google Диске» не давала такой возможности, и ссылка открывалась только у получателя.