Instagram’da xavfsizlik xatosi: yopiq akkaunt postlari boshqalarga ko‘rinib qolgan

So‘nggi yillarda ijtimoiy tarmoqlarda maxfiylik masalasi eng muhim muammolardan biriga aylandi. Foydalanuvchilar shaxsiy hayoti, fotosuratlari va yozuvlari faqat o‘zlari ruxsat bergan odamlar doirasida qolishiga ishonadi. Biroq yaqinda e’lon qilingan texnik tahlil Instagram infratuzilmasida jiddiy xavfsizlik zaifligi mavjud bo‘lganini ko‘rsatdi. Ushbu zaiflik tufayli yopiq (private) akkauntlardagi postlar hatto akkauntga kirmagan va obuna bo‘lmagan shaxslar uchun ham ochiq bo‘lib qolgan.

Mazkur muammo haqida axborot xavfsizligi tadqiqotchisi Jatin Banga tomonidan e’lon qilingan hisobotda batafsil ma’lumot berildi. Unga ko‘ra, Instagram’ning server tomonidagi avtorizatsiya mexanizmidagi xatolik sababli maxfiy kontentga ruxsatsiz kirish imkoni paydo bo‘lgan.

Muammo nimadan kelib chiqqan?

Aniqlangan zaiflik oddiy kesh xatosi yoki brauzer muammosi emas, balki server darajasidagi avtorizatsiya mantiqidagi nosozlik bilan bog‘liq bo‘lgan. Tadqiqotchi shuni aniqlaganki, agar Instagram’ning mobil veb-interfeysiga maxsus HTTP header’lar (xususan, mobil qurilmani taqlid qiluvchi user-agent) orqali so‘rov yuborilsa, server noto‘g‘ri javob qaytargan.

Bunday so‘rov natijasida HTML sahifa ichida joylashgan polaris_timeline_connection nomli JSON obyekt ochiq holda qaytarilgan. Normal holatda bu obyekt yopiq akkauntlar uchun bo‘sh yoki cheklangan bo‘lishi kerak edi. Ammo zaif akkauntlarda u to‘liq edges massivini o‘z ichiga olgan bo‘lib, unda:

  • yopiq postlarga tegishli CDN havolalari,
  • yuqori aniqlikdagi rasmlar,
  • post izohlari (caption’lar)
    to‘liq ochiq holda mavjud bo‘lgan.

Hujum qanday amalga oshirilgan?

Zaiflikdan foydalanish mexanizmi bir necha bosqichdan iborat bo‘lgan:

  1. So‘rov yuborish – hujumchi yopiq akkaunt sahifasiga maxsus sozlangan HTTP header’lar bilan GET so‘rov yuboradi;
  2. Server javobi – server HTML sahifa bilan birga ichiga JSON ma’lumotlar yashirilgan javob qaytaradi;
  3. Ma’lumotni ajratib olishpolaris_timeline_connection obyektidan edges massiv ajratib olinadi;
  4. Kontentga kirish – ochiq CDN havolalari orqali yopiq postlardagi media fayllar va ularning tavsiflari yuklab olinadi.

Eng xavfli jihati shundaki, bu xatolik barcha akkauntlarga birdek ta’sir qilmagan. Sinovlar davomida taxminan 28 foiz akkauntlar zaif ekani aniqlangan. Bu esa muammo ma’lum bir backend holati yoki “buzilgan” sessiya mexanizmi bilan bog‘liq bo‘lishi mumkinligini ko‘rsatadi.

Jim o‘rnatilgan tuzatish va bahsli yopilish

Jatin Banga ushbu muammo haqida Meta’ning bug bounty dasturiga 2025-yil 12-oktabr kuni rasmiy xabar bergan. Hisobotga Proof-of-Concept (PoC) skript, tarmoq loglari va video dalillar ham ilova qilingan. Dastlab Meta muammoni CDN kesh bilan bog‘liq deb baholab, rad etgan.

Shundan so‘ng Meta zaif akkauntlarni aniq ko‘rsatishni so‘ragan. 14-oktabr kuni tadqiqotchi rozilik asosida uchinchi shaxsga tegishli akkauntni taqdim etgan va muammo muvaffaqiyatli qayta tasdiqlangan. Biroq oradan ikki kun o‘tib, ya’ni 16-oktabrda, zaiflik barcha sinov akkauntlarida ishlamay qolgan. Bu server tomonida tuzatish kiritilganini anglatgan, ammo Meta bu haqda rasmiy xabarnoma bermagan.

Shunga qaramay, 27-oktabr kuni Meta hisobotni “qo‘llanilmaydi” (Not Applicable) deya yopgan va muammoni qayta tiklay olmaganini bildirgan. Tadqiqotchi bu holatni mantiqsiz, deb baholab, agar muammo mavjud bo‘lmagan bo‘lsa, nega u jim tarzda bartaraf etilganini savol ostiga qo‘ygan.

Xavfsizlik nuqtayi nazaridan xavotirli holat

Tadqiqotchining ta’kidlashicha, faqat ayrim akkauntlargagina ta’sir qiladigan “shartli” zaifliklar ommaviy xatolardan ham xavfliroq bo‘lishi mumkin. Chunki bunday muammolar uzoq vaqt davomida e’tibordan chetda qoladi va aniqlanishi qiyin bo‘ladi.

Jatin Banga barcha texnik tahlillar, tarmoq loglari va Python’da yozilgan PoC skriptni GitHub’da ochiq e’lon qilib, mustaqil mutaxassislarni tekshiruvga chorlagan. Bu esa muammoning haqiqiy sabablarini aniqlash va kelajakda shunga o‘xshash holatlarning oldini olishga xizmat qilishi mumkin.

Mazkur voqea yirik texnologik platformalarda ham maxfiylik va avtorizatsiya mexanizmlari doimiy nazorat va shaffoflikni talab qilishini yana bir bor ko‘rsatdi. Foydalanuvchilar uchun esa bu holat yopiq akkaunt ham har doim to‘liq himoyalangan degan tushuncha nisbiy ekanini eslatadi. Kiberxavfsizlik sohasida ochiqlik, mas’uliyat va tadqiqotchilar bilan konstruktiv hamkorlik eng muhim omillardan biri bo‘lib qolmoqda.