Instagram ranjivost otkrivala privatne fotografije

AUTOR ·

Nedavna Instagram ranjivost, koja je omogućavala ciljanje pojedinih korisnika na ovoj platformi, ukazuje na opasnosti povezane sa uslovnim propustima u mehanizmima za sprovođenje kontrole pristupa na serverskoj strani, pokazuje istraživanje sigurnosnog istraživača Jatin Banga. Ovo otkriće dodatno naglašava značaj saradnje i razmjene znanja unutar cijelog sektora radi efikasnog odgovora na nove prijetnje.

Instagram

Instagram ranjivost otkrivala privatne fotografije; Source: Bing Image Creator

INSTAGRAM RANJIVOST

Greška kontrole pristupa na strani servera predstavlja ozbiljnu prijetnju bezbjednosti digitalnih platformi i usluga, a često je teško otkriti zbog uslovne prirode ovakvih propusta. Za razliku od tradicionalnih ranjivosti koje podjednako pogađaju sve korisnike, greške kontrole pristupa mogu imati podmukliji uticaj, što ih čini težim za dijagnostikovanje i potvrđivanje da su otklonjene.

U ovom slučaju, propust je omogućavao neovlaštenim korisnicima da pristupe objavama privatnih naloga bez prijavljivanja ili praćenja. Time je nastao dalekosežan rizik, jer su otkrivene osjetljive informacije koje pripadaju približno 28% privatnih Instagram naloga. Otkriće ove greške na platformi Instagram pokazuje koliko su snažni mehanizmi kontrole pristupa na strani servera ključni za zaštitu podataka.

Ranjivost je otkrivena u oktobru 2025. godine, kada je sigurnosni istraživač Jatin Banga identifikovao propust koji je omogućavao pristup objavama privatnih naloga bez prijave i bez veze sa pratiocima. Ovakvi nalazi ukazuju na značaj sistematskog testiranja i analize internet aplikacija, gdje se koriste različiti alati i metode radi uočavanja ranjivosti.

Odgovorna praksa nalaže da se informacije o propustu dostave vlasnicima platforme, kako bi imali dovoljno vremena da sprovedu korektivne mjere. Uobičajeni rok za ovakvu koordinaciju iznosi oko devedeset dana, što omogućava sanaciju bez dodatne štete po korisnike. U ovom slučaju, sigurnosni istraživač je ranjivost objavio javno nakon 102 dana i nakon više pokušaja da problem uputi na viši nivo. Propust je prestao da radi na testiranim nalozima, ali bez analize osnovnog uzroka od strane kompanije Meta nema potvrde da je suštinski problem riješen.

Ovo otvara pitanje načina na koji kompanija Meta (Instagram) postupa sa bezbjednosnim greškama i koliko je spremna da preuzme odgovornost za zaštitu podataka. Odluka sigurnosnog istraživača i reakcija kompanije Meta naglašavaju potrebu za transparentnošću u razgovorima o sajber bezbjednosti i obavezu vlasnika platformi da ozbiljno pristupe zaštiti naloga i povjerenju korisnika.

 

Priroda ranjivosti

Ranjivost se ispoljila kroz način na koji je server obrađivao zahtjeve u mobilnom internet okruženju platforme Instagram. Posebno oblikovani HTTP zahtjevi sa mobilnim zaglavljima prolazili su kroz sistem bez odgovarajuće provjere dozvola, što je rezultovalo vraćanjem sadržaja namijenjenog isključivo vlasnicima naloga i njihovim odobrenim pratiocima.

Server je u odgovoru dostavljao HTML sa ugrađenim JSON strukturama podataka. Te strukture su sadržavale veze ka mreži za isporuku sadržaja (CDN) i metapodatke, ali bez provjere da li je korisnik ovlašćen da ih vidi. Ovakvo ponašanje ukazivalo je na nedostatak u logici servera, a ne na problem sa mrežom za isporuku sadržaja (CDN), koja je samo prenosila podatke koje joj je server naložio.

Presudna je bila razlika između provjera na klijentskoj strani i provjera na strani servera. Klijentske provjere zasnivaju se na unosu podataka i mogu se zaobići manipulacijom internet pregledača, dok server mora da bude posljednja linija zaštite. Kada server ne obavi provjeru, podaci se iznose bez ograničenja.

Ovakva greška pokazuje da je složenost mobilnog internet okruženja dodatno opterećivala sistem. Server je morao da obrađuje različita zaglavlja i parametre, što je povećavalo mogućnost da se propust pojavi u logici provjere.

 

Proces otkrivanja i tehnički detalji

Otkrivanje ovakvih propusta zasniva se na kombinaciji ručnog testiranja i automatizovanih alata. Sigurnosni istraživači šalju različite HTTP zahtjeve sa izmijenjenim zaglavljima ili parametrima kako bi provjerili da li server pravilno reaguje. Na taj način se simuliraju različiti scenariji i ponašanje korisnika.

Greške kontrole pristupa na strani servera teško je uočiti, jer se ne vide direktno u korisničkom okruženju. Za razliku od problema sa unosom podataka, ovakvi nedostaci zahtijevaju uvid u unutrašnju logiku i konfiguraciju servera. Zato se njihovo otkrivanje često oslanja na analizu izvornog kôda, obrazaca mrežnog saobraćaja i sistemskih zapisa.

U konkretnom slučaju, ranjivost je iskorišćena slanjem GET zahtjeva sa posebnim mobilnim zaglavljima na adresu instagram.com. Server je odgovarao vraćanjem HTML sadržaja sa JSON strukturama koje su uključivale veze ka mreži za isporuku sadržaja (CDN) i slikama i natpisima u punoj rezoluciji. Jedan od objekata u tim strukturama sadržavao je metapodatke bez provjere dozvola.

Uzroci ovakvih grešaka mogu biti različiti: pogrešno podešeni mehanizmi provjere identiteta, nepravilno rukovanje HTTP zaglavljima, neadekvatna provjera unosa ili logički propusti u aplikaciji. U ovom slučaju, nepravilno rukovanje zaglavljima i nedostatak provjere identiteta bili su ključni faktori koji su omogućili neovlašten pristup.

 

Odgovor kompanije Meta

U oktobru 2025. sigurnosni istraživač prijavio je propust na platformi Instagram kompanije Meta, vezan za privatne linkove u mreži za isporuku sadržaja (CDN). Prvi izvještaj dostavljen je 12. oktobra kroz program nagrađivanja prijavljenih grešaka, uz tehničke dokaze o postojanju problema. Kompanija Meta je slučaj zatvorila, pogrešno ga svrstavajući u problem privremenog skladištenja podataka, iako je sigurnosni istraživač odmah dostavio dodatni izvještaj kojim je razjasnio razliku između grešaka u pristupu i mrežnih problema.

Sigurnosni istraživač je nastavio da ukazuje na ranjivost, prilažući dokumentaciju sa vremenskim oznakama i provjerom tačnosti. U njoj su se nalazili snimci ekrana prije i poslije iskorištavanja propusta, video zapisi sa hash vrijednostima i istorijom git izmjena, PDF arhiva komunikacije sa kompanijom Meta, mrežni zapisi sa primjerima gdje je propust funkcionisao ili nije, kao i skripta za izvlačenje privatnih veza. Svi materijali su sačuvani kroz git sistem, čime je osigurano da vremenske oznake ne mogu biti naknadno izmijenjene.

Četiri dana nakon dostavljenih dokaza ranjivost je uklonjena i više nije funkcionisala na pogođenim nalozima. Ipak, uprkos ponovljenim zahtjevima sigurnosnog istraživača da potvrdi ispravku, kompanija Meta nije dala jasnu potvrdu. Dana 27. oktobra, jedanaest dana nakon prvog izvještaja, kompanija je izdala zvaničnu izjavu da “ne može da ponovi problem”, iako je ranije tražila testne naloge od sigurnosnog istraživača. Takvo negiranje otvorilo je pitanja o transparentnosti i odgovornosti.

Kompanija Meta je tvrdila da su promjene u infrastrukturi možda nenamjerno uklonile propust, ali bez analize uzroka i bez priznanja doprinosa sigurnosnog istraživača. Posebno je problematično što nisu zatraženi mrežni zapisi sa X-FB-Debug zaglavljima, niti je istražena lista naloga kod kojih je propust postojao i kod kojih nije, iako je to moglo poslužiti kao dijagnostički materijal.

Na kraju, ostaje činjenica da je propust uklonjen, ali bez jasne potvrde, bez analize uzroka i bez priznanja uloženog rada sigurnosnog istraživača. Takav pristup pokazuje nedostatak transparentnosti i ozbiljnosti u postupanju sa prijavama bezbjednosnih propusta, što otvara sumnju da li je problem trajno riješen.

 

Uloga nezavisnih sigurnosnih istraživača

Nezavisni sigurnosni istraživači imaju ključnu ulogu u otkrivanju ranije nepoznatih ranjivosti na platformama društvenih medija poput platforme Instagram. Oni često posjeduju specijalizovano znanje o okvirima za internet razvoj, programskim jezicima i bezbjednosnim protokolima koje koristi ciljna platforma. Njihov rad ne samo da doprinosi sigurnosti korisnika, već i oblikuje praksu odgovornog prijavljivanja propusta.

U tom kontekstu, otkriće sigurnosnog istraživača Jatin Banga o grešci u kontroli pristupa na strani servera ukazalo je na ozbiljne nedostatke u načinu na koji kompanija Meta (Instagram) postupa sa ranjivostima. Sigurnosni istraživač je pokazao vještinu i posvećenost, priloživši dokumentaciju koja je obuhvatala snimke ekrana, video zapise sa hash vrijednostima, git istoriju izmjena, PDF arhivu komunikacije i mrežne zapise. Četiri dana nakon dostavljenih dokaza ranjivost je uklonjena, što je potvrdilo da je prijava bila ispravna i da je imala direktan uticaj na sigurnost platforme.

Ipak, kompanija Meta nije priznala doprinos sigurnosnog istraživača niti ga nagradila kroz program nagrađivanja grešaka. Zvanična izjava da “ne može da ponovi problem” stigla je tek nakon što je ranjivost uklonjena, bez analize uzroka i bez potvrde da je otklonjena zahvaljujući prijavi. Takav pristup pokazuje nedostatak transparentnosti i ozbiljnosti u postupanju sa prijavama bezbjednosnih propusta, što otvara sumnju da li je problem trajno riješen i šalje negativnu poruku zajednici istraživača.

Nezavisni istraživači bezbjednosti često sarađuju sa organizacijama poput kompanije Meta kroz programe nagrađivanja grešaka ili druge inicijative koje podstiču odgovorno otkrivanje ranjivosti. Kada njihov trud nije priznat, to podriva povjerenje u ove programe i demotiviše stručnjake da prijavljuju propuste. Time se ugrožava šira misija – jačanje otpornosti digitalnih platformi i zaštita milijardi korisnika.

Uloga nezavisnih istraživača ne završava na identifikovanju pojedinačnih ranjivosti; oni doprinose oblikovanju bezbjednijeg digitalnog okruženja promovišući svijest o novim rizicima i najboljim praksama za njihovo ublažavanje. Da bi se taj doprinos očuvao, neophodno je da kompanije pokažu transparentnost, priznaju rad sigurnosnih istraživača i nagrade ih za njihov trud – jer bez toga, sigurnost digitalnog prostora ostaje nepotpuno zaštićena.

 

UTICAJ

Ranjivost koja može omogućiti pristup privatnim objavama na platformi Instagram snažno utiče na povjerenje korisnika u digitalne platforme. Kada osjetljive informacije izađu izvan kontrolisanog okruženja, narušava se osjećaj sigurnosti i privatnosti, što mijenja način na koji ljudi koriste društvene medije. Sama mogućnost da veliki broj privatnih naloga bude izložen pokazuje razmjere problema i potencijalne posljedice po lične podatke.

Takva situacija utiče i na reputaciju kompanije Meta, jer način postupanja sa prijavom otvara pitanje njene spremnosti da preuzme odgovornost. Nedostatak jasne potvrde i transparentnosti u komunikaciji sa sigurnosnim istraživačem stvara sumnju u ozbiljnost pristupa bezbjednosnim prijetnjama. Time se slabi povjerenje ne samo korisnika, već i stručne zajednice koja doprinosi otkrivanju propusta.

Zajednica nezavisnih istraživača osjeća posljedice kroz poruku da njihov rad možda neće biti priznat ili nagrađen. Kada se trud i dokazi ne vrednuju, smanjuje se motivacija da se prijavljuju nove greške. Dugoročno, to može oslabiti sistem ranog otkrivanja ranjivosti, jer sigurnosni istraživači gube povjerenje i povlače se iz procesa koji zahtijeva saradnju sa velikim kompanijama.

Uticaj se širi i na širu sliku sajber bezbjednosti. Ovakvi slučajevi pokazuju složenost odnosa između korisnika, sigurnosnih istraživača i vlasnika platformi. Kada jedna strana ne ispuni očekivanja, cijeli sistem zaštite podataka postaje krhkiji. Time se otvara prostor za rasprave o odgovornosti, transparentnosti i ulozi nezavisnih stručnjaka u očuvanju digitalnog prostora.

 

ZAKLJUČAK

Postupanje kompanije Meta u vezi sa prijavljenom ranjivošću pokazuje složenost odnosa između velikih platformi i sigurnosnih istraživača. Kada se greška ukloni bez jasne potvrde i bez priznanja uloženog rada, ostaje otvoreno pitanje o ozbiljnosti pristupa i spremnosti da se odgovori na prijetnje. Takav način komunikacije stvara neizvjesnost i ostavlja prostor za sumnju u dosljednost procesa.

Dokazi koje je sigurnosni istraživač dostavio, uključujući snimke ekrana, zapise i tehničku dokumentaciju, ukazuju na temeljitost i posvećenost u otkrivanju propusta. Ipak, izostanak priznanja ili nagrade pokazuje da se trud može zanemariti, što otvara dilemu o vrijednosti doprinosa nezavisnih stručnjaka. Time se naglašava razlika između tehničkog rješenja i društvenog odnosa koji se gradi kroz povjerenje.

Ovakvi slučajevi ukazuju na to da uklanjanje greške nije kraj procesa, već početak pitanja o načinu na koji se gradi odnos između sigurnosnih istraživača i kompanija. Kada jedna strana ne pokaže spremnost da u potpunosti prizna doprinos, stvara se osjećaj da saradnja nema stabilne temelje. To dovodi do šireg razmišljanja o ulozi nezavisnih stručnjaka u digitalnom prostoru.

Na kraju ostaje otvoreno da li je problem trajno riješen i da li će ovakvi primjeri oblikovati buduće ponašanje kompanija prema prijavljenim propustima. Bez jasne komunikacije i priznanja uloženog rada sigurnosnih istraživača, granica između tehničkog otkrića i društvenog odnosa ostaje nejasna, a povjerenje u cijeli proces ostaje krhko.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.