Instagram виправила нову уразливість, яка дозволяла будь-кому переглядати архіви публікацій та історій закритих сторінок без необхідності на них підписуватися. Як пояснив дослідник, який виявив проблему, за допомогою Media ID атакуючий міг бачити закриті/архівні публікації, історії, Reels і IGTV, не будучи підписаним на користувача.
Дослідник повідомив про уразливість команду безпеки Facebook 16 квітня 2021 року і вона випустила виправлення 15 червня. В рамках програми виплати винагород дослідник отримав $ 30 тис.
Хоча для здійснення атаки зловмисник повинен знати Media ID, дослідник продемонстрував, як за допомогою брутфорса ідентифікаторів створити POST-запит до кінцевої точки GraphQL і отримати чутливі дані.
Крім того, атакуючий міг дізнатися пов’язану з обліковим записом сторінку в Facebook.
23 квітня дослідник виявив ще одну уразливість, яка розкриває той же набір даних, і Facebook також випустила для неї виправлення.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як виявити та чому краще не сперечатися з “тролями”? ПОРАДИ
Правила безпеки дітей в Інтернеті
Як захистити підлітків від інтернет-шахраїв? ПОРАДИ
До речі, Google планує ускладнити Android-додаткам відстеження користувачів. Компанія анонсувала зміни в те, як обробляються унікальні ідентифікатори пристроїв, що дозволяють відстежувати їх між додатками.
Також Apple має намір випустити оновлення для своїх пристроїв, після якого вони дозволять користувачам дізнаватися, яку саме інформацію про них збирають додатки.
Microsoft детально розповість про “наступне покоління Windows” на спеціальному заході, який відбудеться в кінці цього місяця. Компанія почала розсилку запрошень на захід, який буде повністю присвячено програмній платформі Windows і почнеться о 18:00 (за київським часом) 24 червня.
Окрім цього, зловмисники поширюють шкідливе ПЗ під виглядом популярних Android-додатків від відомих компаній. Підроблений плеєр VLC, антивірус Касперського, а також підроблені додатки FedEx і DHL встановлюють на пристроях жертв банківські трояни Teabot або Flubot, вперше виявлені раніше в цьому році.