Seorang peneliti keamanan telah menerbitkan bukti terperinci yang menunjukkan bahwa beberapa profil pribadi Instagram mengembalikan tautan ke foto pengguna kepada pengunjung yang tidak diautentikasi.
Fitur akun pribadi Instagram dirancang untuk membatasi foto, video, cerita, dan gulungan hanya untuk pengikut yang disetujui. Namun, temuan peneliti menunjukkan bahwa, dalam kasus tertentu, konten profil pribadi disematkan dalam respons server yang dapat diakses publik.
Menurut peneliti, Meta memperbaiki masalah tersebut setelah laporannya diserahkan tetapi kemudian menutupnya karena “tidak berlaku”, dengan menyatakan bahwa kerentanan tidak dapat direproduksi.
Profil Instagram pribadi membocorkan foto
Peneliti keamanan Jatin Banga baru-baru ini mendemonstrasikan bagaimana profil Instagram pribadi tertentu membocorkan tautan ke foto pribadi dari akun tersebut—di badan respons HTML itu sendiri.
Ketika diakses oleh pengguna yang tidak diautentikasi dari perangkat seluler tertentu, profil Instagram pribadi (seperti yang dibuat peneliti https://instagram.com/jatin.py) menampilkan pesan standar: “Akun ini pribadi. Ikuti untuk melihat foto dan videonya.”
Namun, dalam kode sumber HTML untuk profil yang terpengaruh, tautan ke beberapa foto pribadi serta keterangan disematkan di respons halaman.
Di Banga contohitu polaris_timeline_connection Objek JSON yang dikembalikan dalam HTML berisi tautan CDN yang disandikan ke foto yang seharusnya tidak dapat diakses.
Video proof-of-concept (PoC) yang dibagikan oleh Banga dan disematkan di bawah ini menunjukkan tindakan kerentanan kebocoran data.
Dengan membatasi pengujian formal pada profil pengujian pribadi yang dibuat Banga atau memiliki izin eksplisit untuk menggunakannya, ia menemukan bahwa setidaknya 28% dari akun ini mengembalikan teks dan tautan ke foto pribadi:
Meta diam-diam memperbaiki masalah demi laporan, kata peneliti
Peneliti menyatakan bahwa ia membagikan temuannya kepada perusahaan induk Instagram, Meta, pada awal 12 Oktober 2025.
Meta awalnya mengklasifikasikan masalah ini sebagai masalah cache CDN, sebuah karakterisasi yang dibantah oleh peneliti.
“Ini bukan masalah cache CDN — backend Instagram gagal memeriksa otorisasi sebelum mengisi responsnya,” tulis Bangamenggambarkannya sebagai kegagalan otorisasi sisi server.
Banga membuat laporan bug kedua yang mengklarifikasi masalah tersebut, namun tidak mencapai resolusi yang memuaskan dengan perusahaan meskipun telah dilakukan diskusi panjang selama berhari-hari.
Menurut peneliti, setelah pertukaran berulang kali, kasus tersebut ditutup karena “tidak berlaku” tetapi eksploitasi berhenti bekerja sekitar tanggal 16 Oktober.
“Jendela pengungkapan terkoordinasi standar adalah 90 hari. Saya memberi Meta 102 hari dan beberapa upaya eskalasi. Eksploitasi berhenti bekerja pada semua akun yang saya uji — meskipun tanpa analisis akar masalah dari Meta, tidak ada konfirmasi bahwa masalah mendasar telah benar-benar teratasi,” lanjutnya.
Selain pengungkapannya dan Repositori GitHub mendokumentasikan bukti ekstensif tentang kelemahan tersebut dan komunikasi dengan Meta, Banga berbagi materi tambahan dengan BleepingComputer untuk menunjukkan keberadaan kelemahan tersebut.
Kami bertanya kepada Banga mengapa dia tidak mengarsipkan profil pribadi pengujian menggunakan layanan publik seperti Mesin Wayback dari Arsip Internet, yang dapat menyimpan kode sumber HTML dengan tautan ke foto pribadi, sehingga tidak dapat disangkal lagi bahwa ada bug.
“Mesin Wayback tidak mengirimkan Agen Pengguna Seluler dan Header spesifik yang diperlukan untuk memicu kebocoran sisi server ini, sehingga perayap mereka tidak dapat menangkapnya,” peneliti menjelaskan kepada BleepingComputer.
Di korespondensi yang diterbitkanseorang analis triase kerentanan Meta menulis:
Pada akhirnya, selama percakapan, analis terlihat menyatakan:
“Fakta bahwa masalah yang tidak dapat direproduksi telah diperbaiki tidak mengubah fakta bahwa masalah tersebut tidak dapat direproduksi pada saat itu. Bahkan jika masalah tersebut dapat direproduksi, mungkin saja ada perubahan yang dilakukan untuk memperbaiki masalah lain dan masalah ini diperbaiki sebagai efek samping yang tidak diinginkan.”
“Saya ingin menekankan bahwa saya tidak mengejar imbalan di sini. Dengan mengumumkan pengungkapan ini kepada publik, saya telah kehilangan segala peluang untuk mendapatkan imbalan,” kata Banga kepada BleepingComputer melalui email.
“Tujuannya adalah transparansi. Meta menambal kebocoran privasi penting 48-96 jam setelah laporan saya tetapi menolak untuk mengakuinya, dan menganggapnya sebagai ‘efek samping yang tidak diinginkan.’ Kelalaian dan keengganan mereka untuk menyelidiki akar permasalahan sebenarnya—walaupun mereka mempunyai catatannya—adalah masalah sebenarnya.”
“Tidak ada yang tahu sudah berapa lama benda ini dieksploitasi, karena tidak terlalu sulit untuk menemukannya.”
BleepingComputer menghubungi Meta untuk memberikan komentar pada tiga kesempatan terpisah jauh sebelum publikasi tetapi tidak menerima tanggapan.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
