核心内容摘要
设计人生杠杆,真正对世界产生重大影响的程序员,几乎都做了三类事情:创造基础设施、创造新范式、改变信息流。(可复制、网络效应、时间杠杆)信息流 = 权力流 = 财富流
网络安全研究员 Jatin Banga 本周披露Instagram 基础设施存在一个严重的服务器端漏洞攻击者无需登录或关注关系即可访问私密照片和文字说明。
Meta 公司已于 2025 年 10 月静默修复该漏洞其利用方式涉及通过特定 HTTP 标头配置绕过移动网页端的隐私控制。
Polaris漏洞利用机制该漏洞源于 Instagram 服务器端授权逻辑缺陷而非简单的缓存错误。
Banga 发现向 instagram.com/私密用户名 发送带有特定移动端用户代理标头的未认证 GET 请求时服务器会返回包含 polaris_timeline_connection JSON 对象的响应。
正常情况下非关注者查看私密账户时该对象应为空或受限。
但对于受影响账户服务器会返回完整的 edges 数组其中包含指向私密媒体文件及其文字说明的内容分发网络CDN直连地址。
漏洞利用流程请求阶段攻击者向私密账户发送标头篡改的 GET 请求响应阶段服务器返回包含 JSON 数据的 HTML数据提取解析 polaris_timeline_connection 对象定位 edges 数组内容获取通过暴露的 CDN 地址访问高清图片及帖文详情该条件触发型漏洞并非影响所有账户。
测试显示约 28% 的授权测试账户存在风险其余账户返回安全响应表明漏洞触发需要特定后端状态或受损的会话处理机制。
静默修复时间线披露文件记录了与 Meta 漏洞赏金计划长达 102 天的争议性互动。
Banga 于 2025 年 10 月 12 日提交初始报告包含 PoC 脚本和视频证据。
Meta 最初以CDN 缓存问题为由拒绝后要求提供具体受影响账户验证。
10 月 14 日Banga 提交可复现漏洞的第三方授权账户its_prathambanga。
10 月 16 日所有先前存在风险的账户均无法复现漏洞表明服务器端已完成修复但 Meta 未发布任何修复通知。
10 月 27 日Meta 以无法复现为由关闭报告。
当被质疑要求提供漏洞账户后又予以修复的矛盾行为时Meta 安全团队回应称修复可能是其他基础设施变更的意外副作用。
该处理方式因缺乏根本原因分析而受到批评。
由于未明确承认具体缺陷无法确认底层授权问题已彻底解决还是仅通过配置变更暂时掩盖。
Banga 已在 GitHub 发布完整技术分析、网络日志和 Python PoC 脚本供同行评审。
相比影响所有账户的漏洞这种选择性暴露部分账户的条件型漏洞实际上更危险Banga 在报告中指出用基础设施变更搪塞无法建立安全信心。