كشف باحث أمني عن دليل يشير إلى تسريب روابط صور من حسابات "إنستغرام" الخاصة لزوار غير مصرح لهم بالدخول، في ثغرة وصفها بأنها فشل في التحقق من الصلاحيات على مستوى الخوادم.
وأظهر الباحث جاتين بانغا أن بعض الحسابات الخاصة على المنصة كانت تُرجِع روابط مباشرة للصور والتعليقات المرفقة ضمن كود HTML الخاص بالصفحة، رغم ظهور الرسالة القياسية التي تفيد بأن الحساب خاص عند محاولة الدخول إليه.
وبحسب موقع "News9 Live"، فقد أجرى بانغا اختباراً محكماً على حسابات حصل على إذن لفحصها، فوجد أن نحو 28% منها كانت تعرض روابط الصور المشفرة على شبكة CDN والتعليقات التي يُفترض أن تظل محمية، وذلك عند زيارة الملفات الشخصية من أجهزة محمولة محددة دون تسجيل دخول.
ومن جهته، أبلغ الباحث
شركة ميتا الشركة الأم لـ"إنستغرام" بالثغرة في 12 أكتوبر (تشرين الأول) 2025، وتوقفت الثغرة عن العمل بعد عدة أيام من المراسلات في 16 من نفس الشهر تقريباً، لكن الشركة أغلقت التقرير لاحقاً بوصفه "غير قابل للتطبيق" مشيرة إلى عدم قدرتها على إعادة إنتاج المشكلة.
ونسبت ميتا المشكلة في البداية إلى خلل في التخزين المؤقت لشبكة CDN، وهو تفسير رفضه بانغا بشدة مؤكداً أن الخوادم كانت تملأ الاستجابات قبل التحقق السليم من حقوق الوصول.
وأكد بانغا أنه منح ميتا 102 يوماً وعدة محاولات تصعيد رغم أن الفترة القياسية للإفصاح تبلغ 90 يوماً فقط، موضحاً أن هدفه ليس الحصول على مكافأة الثغرات، بل المساءلة والشفافية حول خرق خطير للخصوصية.
كما أشار الباحث إلى أن خدمات الأرشفة العامة مثل Wayback Machine لا ترسل رأسيات الأجهزة المحمولة المحددة المطلوبة لتفعيل التسريب، ما يجعل التحقق المستقل صعباً.
وشدد الباحث على أن امتناع الشركة عن التحقيق في السبب الجذري وشرحه يمثل المشكلة الحقيقية في التعامل مع ثغرات الخصوصية الحرجة.