Nhà nghiên cứu bảo mật Mayur Fartade cho biết: “Lỗ hổng này có thể cho phép kẻ tấn công có thể xem ảnh, video, story của tài khoản người dùng đang bật chế độ riêng tư, thậm chí chi tiết các bài đăng, câu chuyện, đoạn phim riêng tư được đăng tải mà không cần theo dõi người dùng đó bằng Media ID”.

Fartade đã thông báo lỗ hổng này với nhóm bảo mật của Facebook vào ngày 16/4/2021, sau đó lỗ hổng đã được vá vào ngày 15/6/2021. Fartade cũng nhận được khoản tiền 30.000 USD như một phần của chương trình tiền thưởng lỗ hổng bảo mật của công ty.

Mặc dù cuộc tấn công yêu cầu biết ID bài viết được liên kết với hình ảnh, video hoặc album bằng cách gắn các số nhận dạng, nhưng Fartade đã chứng minh rằng có thể tạo một yêu cầu POST tới một điểm cuối GraphQL và truy xuất dữ liệu nhạy cảm.

Lỗ hổng này khiến các thông tin chi tiết như số lượt thích, bình luận, tải về, display_url và image.uri tương ứng với ID đều có thể được trích xuất ngay cả khi không theo dõi người dùng, đồng thời để lộ trang Facebook được liên kết với tài khoản Instagram.

Đây không phải là lần đầu Instagram bị phát hiện lỗ hổng gây rò rỉ dữ liệu. Vào năm 2019, Instagram cũng để rò rỉ hơn 49 triệu thông tin cá nhân của người dùng, đa phần là người nổi tiếng.