Instagram漏洞曝光：未授权访问私密帖文风险解析

网络安全研究员 Jatin Banga 本周披露，Instagram 基础设施存在一个严重的服务器端漏洞，攻击者无需登录或关注关系即可访问私密照片和文字说明。Meta 公司已于 2025 年 10 月静默修复该漏洞，其利用方式涉及通过特定 HTTP 标头配置绕过移动网页端的隐私控制。

"Polaris"漏洞利用机制

该漏洞源于 Instagram 服务器端授权逻辑缺陷，而非简单的缓存错误。Banga 发现，向 instagram.com/<私密用户名> 发送带有特定移动端用户代理标头的未认证 GET 请求时，服务器会返回包含 polaris_timeline_connection JSON 对象的响应。

正常情况下，非关注者查看私密账户时该对象应为空或受限。但对于受影响账户，服务器会返回完整的 edges 数组，其中包含指向私密媒体文件及其文字说明的内容分发网络（CDN）直连地址。

漏洞利用流程：

1. 请求阶段：攻击者向私密账户发送标头篡改的 GET 请求
2. 响应阶段：服务器返回包含 JSON 数据的 HTML
3. 数据提取：解析 polaris_timeline_connection 对象定位 edges 数组
4. 内容获取：通过暴露的 CDN 地址访问高清图片及帖文详情

该"条件触发型"漏洞并非影响所有账户。测试显示约 28% 的授权测试账户存在风险，其余账户返回安全响应，表明漏洞触发需要特定后端状态或"受损"的会话处理机制。

静默修复时间线

披露文件记录了与 Meta 漏洞赏金计划长达 102 天的争议性互动。Banga 于 2025 年 10 月 12 日提交初始报告，包含 PoC 脚本和视频证据。Meta 最初以"CDN 缓存问题"为由拒绝，后要求提供具体受影响账户验证。10 月 14 日，Banga 提交可复现漏洞的第三方授权账户（its_prathambanga）。

10 月 16 日，所有先前存在风险的账户均无法复现漏洞，表明服务器端已完成修复，但 Meta 未发布任何修复通知。10 月 27 日，Meta 以"无法复现"为由关闭报告。当被质疑"要求提供漏洞账户后又予以修复"的矛盾行为时，Meta 安全团队回应称修复可能是"其他基础设施变更的意外副作用"。

该处理方式因缺乏根本原因分析而受到批评。由于未明确承认具体缺陷，无法确认底层授权问题已彻底解决，还是仅通过配置变更暂时掩盖。Banga 已在 GitHub 发布完整技术分析、网络日志和 Python PoC 脚本供同行评审。

"相比影响所有账户的漏洞，这种选择性暴露部分账户的条件型漏洞实际上更危险，"Banga 在报告中指出，"用'基础设施变更'搪塞无法建立安全信心。"