La scoperta

Il ricercatore di sicurezza Jatin Banga ha individuato una vulnerabilità server-side nell'infrastruttura di Instagram che consentiva l'accesso non autorizzato a contenuti privati. La falla, corretta silenziosamente da Meta nel mese di ottobre 2025, è stata resa pubblica solo a gennaio 2026.

Come funzionava l'attacco

La vulnerabilità risiedeva nel modo in cui i server di Instagram gestivano le richieste per i contenuti multimediali. Un attaccante poteva sfruttare questa debolezza per bypassare completamente i controlli di accesso, ottenendo la possibilità di:

  • Visualizzare foto pubblicate su account privati
  • Leggere le didascalie associate ai post
  • Accedere a contenuti senza alcuna relazione con il proprietario dell'account

L'aspetto più grave riguardava l'assenza totale di requisiti di autenticazione. Non serviva effettuare il login, né essere follower dell'account target. Qualsiasi utente, anche completamente anonimo, poteva potenzialmente accedere a materiale riservato.

Impatto sulla privacy

La gravità di questa vulnerabilità deriva dalla natura stessa degli account privati su Instagram. Gli utenti che impostano il profilo come privato lo fanno con l'aspettativa che solo i follower approvati possano vedere i loro contenuti. Una falla di questo tipo vanifica completamente questa protezione.

Non sono stati resi noti dettagli su eventuali sfruttamenti della vulnerabilità prima della patch, né sul numero di account potenzialmente esposti.

La risposta di Meta

Meta ha applicato una correzione nel mese di ottobre 2025, senza rilasciare comunicazioni pubbliche. Questa pratica, nota come "silent patching", è comune tra le grandi piattaforme quando si tratta di vulnerabilità già risolte. La divulgazione responsabile da parte del ricercatore è avvenuta solo dopo la conferma dell'avvenuta correzione.

Considerazioni tecniche

Le vulnerabilità server-side che permettono il bypass dell'autenticazione rappresentano una delle categorie più critiche nel campo della sicurezza delle applicazioni web. In questo caso specifico, il problema risiedeva probabilmente nella logica di autorizzazione lato server, dove i controlli sui permessi di visualizzazione non venivano applicati correttamente per determinati endpoint o tipologie di richieste.

Questo tipo di falle sottolinea l'importanza di implementare controlli di accesso a più livelli e di sottoporre regolarmente l'infrastruttura a test di sicurezza approfonditi.