ثغرة خطيرة في “إنستغرام” تكشف صور الحسابات الخاصة

أثارت ثغرة أمنية جديدة في منصة “إنستغرام” مخاوف جدية بشأن خصوصيتها ومصداقية الحماية التي توفرها للمستخدمين، بعدما كشف باحث أمني عن إمكانية الوصول إلى روابط صور الحسابات الخاصة والتعليقات المرفقة بها لزوار غير مصرح لهم، في تجاوز واضح لإعدادات الخصوصية الصارمة التي تفخر بها المنصة.

تفاصيل ثغرة “إنستغرام” وتسريب البيانات

كشف الباحث الأمني جاتين بانغا عن دليل تقني يثبت وجود ثغرة “إنستغرام” خطيرة تتعلق بفشل الخوادم في التحقق من صلاحيات الوصول. وأوضح بانغا أن بعض الحسابات المحمية (Private) كانت تُرجع روابط مباشرة للصور والتعليقات ضمن كود HTML الخاص بالصفحة، مما يسمح بالوصول إليها رغم ظهور رسالة الحجب القياسية.

ووفقاً للاختبارات التي أجراها الباحث ونشرها موقع News9 Live، تبين الآتي: أجرى بانغا فحصاً على حسابات حصل على إذن مسبق لاختبارها.

وجد أن نحو 28% من الحسابات كانت تعرض روابط الصور المشفرة على شبكة (CDN) والتعليقات للعامة.

ويحدث التسريب عند زيارة الملفات الشخصية من أجهزة محمولة محددة دون الحاجة لتسجيل الدخول.

هذا يعني أن صور الحسابات الخاصة التي يعتقد المستخدمون أنها محمية، كانت متاحة تقنياً لمن يمتلك المعرفة للوصول إلى الروابط الخلفية للصفحة.

رد شركة “ميتا” والجدل حول الإصلاح

قام الباحث بإبلاغ شركة ميتا (الشركة الأم لإنستغرام) بهذه الثغرة في 12 أكتوبر/تشرين الأول 2025.

ورغم أن الثغرة توقفت عن العمل فعلياً، بحلول 16 أكتوبر/تشرين الأول، تقريباً بعد مراسلات مكثفة، إلا أن استجابة الشركة كانت مفاجئة.

وأغلقت ميتا التقرير، لاحقاً، وصنفته بأنه “غير قابل للتطبيق”، مشيرة إلى عدم قدرتها على إعادة إنتاج المشكلة، وعزت السبب مبدئياً إلى خلل في التخزين المؤقت لشبكة CDN.

وهو التفسير الذي رفضه بانغا بشدة، مؤكداً أن المشكلة تكمن في أن الخوادم كانت تقدم البيانات قبل التحقق السليم من حقوق الوصول.

وأشار الباحث إلى أنه منح الشركة مهلة 102 يوم قبل الإفصاح العلني، متجاوزاً الفترة القياسية (90 يوماً)، مؤكداً أن هدفه هو تعزيز الشفافية والمساءلة حول أمن المعلومات وليس الحصول على مكافأة، خاصة مع صعوبة التحقق المستقل من الثغرة عبر خدمات الأرشفة مثل “Wayback Machine” التي لا تدعم المعايير التقنية التي كشفت التسريب.

المصدر: فوشيا