В ходе углублённого исследования в области кибербезопасности эксперты выявили критическую уязвимость в функционировании социальной сети Instagram(принадлежит Meta, признанной экстремистской организацией и запрещённой на территории РФ), принадлежащей компании Meta, признанной экстремистской организацией и запрещённой на территории Российской Федерации. Анализ показал, что в ряде случаев доступ к фотографиям на закрытых профилях осуществлялся без прохождения процедуры аутентификации, несмотря на то, что правилами платформы установлено ограничение доступа к таким материалам для пользователей без соответствующих разрешений.
Обычно при попытке несанкционированного доступа к закрытому аккаунту пользователь получает уведомление об ограничении доступа. Однако исследователь Джатин Банга выявил, что при использовании определённых мобильных устройств сервер Instagram отправлял ссылки на закрытые фотографии и их подписи в виде закодированного HTML-кода, скрытого в структуре веб-страницы.
В своём репозитории Джатин Банга представил видеодоказательства и детально описал проблему. Он также обнародовал переписку с представителями компании Meta, в которой обсуждались технические аспекты уязвимости. В процессе тестирования исследователь использовал только свои закрытые аккаунты и профили с необходимыми правами доступа. Несмотря на эти ограничения, около 28% профилей предоставляли ссылки на закрытые фотографии и подписи, что указывает на воспроизводимость проблемы при определённых условиях и параметрах запроса.
Изначально компания Meta объяснила ситуацию проблемой кеширования сети CDN. Однако Джатин Банга оспорил это объяснение, утверждая, что проблема связана с ошибкой в системе аутентификации на серверной стороне, а именно с тем, что бэкенд не проводил проверку прав доступа до формирования ответа. После повторной подачи отчёта и дополнительных обсуждений проблема была закрыта со статусом «неприменимо».