كشف باحث أمني عن دليل على وجود ثغرة في منصة «إنستغرام» سمحت بتسريب روابط صور وتعليقات من حسابات خاصة لزوار غير مصرح لهم بالدخول، في ما وصفه بفشل في التحقق من الصلاحيات على مستوى الخوادم.
وأوضح الباحث جاتين بانغا أن بعض الحسابات الخاصة كانت تُرجِع روابط مباشرة للصور والتعليقات المرفقة ضمن كود HTML للصفحة، رغم ظهور الرسالة القياسية التي تفيد بأن الحساب خاص عند محاولة الوصول إليه.
وبحسب موقع «News9 Live»، أجرى بانغا اختباراً على حسابات حصل على إذن لفحصها، وتبيّن أن نحو 28% منها كانت تكشف روابط صور مخزنة على شبكة CDN وتعليقات يفترض أن تبقى محمية، وذلك عند زيارة الملفات الشخصية من أجهزة محمولة محددة من دون تسجيل دخول.
وأشار إلى أنه أبلغ شركة «ميتا»، المالكة لـ«إنستغرام»، بالثغرة في 12 أكتوبر (تشرين الأول) 2025، قبل أن تتوقف عن العمل بعد أيام من المراسلات في نحو 16 من الشهر نفسه. غير أن الشركة أغلقت التقرير لاحقاً بوصفه «غير قابل للتطبيق»، مشيرة إلى عدم قدرتها على إعادة إنتاج المشكلة.
وكانت «ميتا» قد عزت الخلل في البداية إلى مشكلة في التخزين المؤقت لشبكة CDN، وهو تفسير رفضه بانغا، مؤكداً أن الخوادم كانت تُنشئ الاستجابات قبل التحقق السليم من حقوق الوصول.
وأوضح الباحث أنه منح الشركة مهلة بلغت 102 يوم وعدة محاولات تصعيد، رغم أن فترة الإفصاح القياسية لا تتجاوز 90 يوماً، مؤكداً أن هدفه ليس الحصول على مكافآت الثغرات، بل تحقيق المساءلة والشفافية بشأن خرق خطير للخصوصية.
كما لفت إلى أن خدمات الأرشفة العامة، مثل «Wayback Machine»، لا ترسل رؤوس الأجهزة المحمولة المطلوبة لتفعيل التسريب، ما يجعل التحقق المستقل من الثغرة أمراً صعباً، مشدداً على أن غياب التحقيق في السبب الجذري للمشكلة يمثل التحدي الأكبر في التعامل مع ثغرات الخصوصية الحساسة.