একজন নিরাপত্তা গবেষক বিশদ প্রমাণ প্রকাশ করেছেন যা দেখায় যে কিছু Instagram ব্যক্তিগত প্রোফাইল ব্যবহারকারীর ফটোগুলির লিঙ্কগুলি অপ্রমাণিত দর্শকদের কাছে ফিরিয়ে দিয়েছে।
ইনস্টাগ্রামের ব্যক্তিগত অ্যাকাউন্ট বৈশিষ্ট্যটি ফটো, ভিডিও, গল্প এবং রিল অনুমোদিত অনুসরণকারীদের সীমাবদ্ধ করার জন্য ডিজাইন করা হয়েছে। যাইহোক, গবেষকের ফলাফলগুলি দেখায় যে, কিছু ক্ষেত্রে, ব্যক্তিগত প্রোফাইল সামগ্রী সর্বজনীনভাবে অ্যাক্সেসযোগ্য সার্ভার প্রতিক্রিয়াগুলিতে এমবেড করা হয়েছিল।
গবেষকের মতে, মেটা তার রিপোর্ট জমা দেওয়ার পরে সমস্যাটি ঠিক করেছে, কিন্তু পরে এটিকে “প্রযোজ্য নয়” বলে বন্ধ করে দিয়েছে, এই বলে যে দুর্বলতা পুনরুত্পাদন করা যাবে না।
ব্যক্তিগত ইনস্টাগ্রাম প্রোফাইল থেকে ছবি ফাঁস হয়
নিরাপত্তা গবেষক যতীন বঙ্গ সম্প্রতি দেখিয়েছেন কীভাবে কিছু ব্যক্তিগত ইনস্টাগ্রাম প্রোফাইল এইচটিএমএল প্রতিক্রিয়া বডিতে এই অ্যাকাউন্টগুলি থেকে ব্যক্তিগত ফটোগুলির লিঙ্ক লিক করছে।
নির্দিষ্ট মোবাইল ডিভাইস থেকে অ্যাক্সেস করা হলে, একটি অননুমোদিত ব্যবহারকারীর ব্যক্তিগত ইনস্টাগ্রাম প্রোফাইল (যেমন গবেষক দ্বারা তৈরি) https://instagram.com/jatin.py) আদর্শ বার্তাটি প্রদর্শন করুন: “এই অ্যাকাউন্টটি ব্যক্তিগত। তাদের ফটো এবং ভিডিও দেখতে অনুসরণ করুন।”
যাইহোক, প্রভাবিত প্রোফাইলের এইচটিএমএল সোর্স কোডে, পৃষ্ঠার প্রতিক্রিয়াতে কিছু ব্যক্তিগত ফটোর সাথে সাথে ক্যাপশনের লিঙ্কগুলি এম্বেড করা হয়েছিল।
বঙ্গের উদাহরণে, পোলারিস_টাইমলাইন_সংযোগ HTML এ ফিরে আসা JSON অবজেক্টে ফটোগুলির এনকোড করা CDN লিঙ্ক রয়েছে যা অ্যাক্সেস করা উচিত ছিল না।
বঙ্গ দ্বারা শেয়ার করা এবং নীচে এম্বেড করা ভিডিওটি প্রমাণ-অফ-কনসেপ্ট (POC) ডেটা ফাঁসের দুর্বলতা দেখায়।
বঙ্গ দ্বারা তৈরি ব্যক্তিগত পরীক্ষার প্রোফাইলগুলিতে আনুষ্ঠানিক পরীক্ষা সীমিত করে বা সেগুলি ব্যবহারের সুস্পষ্ট অনুমতি দিয়ে, তারা দেখেছে যে এই অ্যাকাউন্টগুলির অন্তত 28% ব্যক্তিগত ফটোগুলির ক্যাপশন এবং লিঙ্কগুলি ফিরিয়ে দিচ্ছে:
গবেষক বলেন, মেটা চুপচাপ রিপোর্টের পর সমস্যার সমাধান করেছে
গবেষক বলেছেন যে তারা তাদের ফলাফলগুলি 12 অক্টোবর, 2025 এর প্রথম দিকে ইনস্টাগ্রামের মূল সংস্থা, মেটার সাথে ভাগ করেছেন।
মেটা প্রাথমিকভাবে সমস্যাটিকে একটি CDN ক্যাশিং সমস্যা হিসাবে শ্রেণীবদ্ধ করেছিল, যা গবেষক বিতর্ক করেছিলেন।
বঙ্গ এটিকে সার্ভার-সাইড অনুমোদনের ব্যর্থতা হিসাবে বর্ণনা করেছেন, লিখেছেন, “এটি একটি CDN ক্যাশিং সমস্যা ছিল না – Instagram এর ব্যাকএন্ড প্রতিক্রিয়া জনিত করার আগে অনুমোদন পরীক্ষা করতে ব্যর্থ হয়েছিল।”
বঙ্গ একটি দ্বিতীয় বাগ রিপোর্ট দাখিল করে সমস্যাটি স্পষ্ট করে, কিন্তু বেশ কিছু দিন ধরে দীর্ঘ আলোচনা সত্ত্বেও, কোম্পানির সাথে কোন সন্তোষজনক সমাধানে পৌঁছানো যায়নি।
গবেষকের মতে, বারবার আদান-প্রদানের পরে, সমস্যাটি “প্রযোজ্য নয়” হিসাবে বন্ধ করা হয়েছিল, কিন্তু শোষণটি 16 অক্টোবরের দিকে কাজ করা বন্ধ করে দেয়।
“স্ট্যান্ডার্ড সমন্বিত প্রকাশের উইন্ডোটি 90 দিন। আমি মেটাকে 102 দিন দিয়েছি এবং একাধিক বৃদ্ধির চেষ্টা করেছি। আমার পরীক্ষা করা সমস্ত অ্যাকাউন্টে শোষণটি কাজ করা বন্ধ করে দিয়েছে – যদিও মেটা থেকে মূল কারণ বিশ্লেষণ ছাড়াই, অন্তর্নিহিত সমস্যাটি আসলে সমাধান করা হয়েছে এমন কোন নিশ্চিতকরণ নেই,” তিনি যোগ করেন।
GitHub রিপোজিটরি এবং মেটার সাথে যোগাযোগের ডকুমেন্টেশনের মাধ্যমে তার প্রকাশ এবং ত্রুটির ব্যাপক প্রমাণ ছাড়াও, বাঙ্গা ত্রুটিটির অস্তিত্ব প্রদর্শনের জন্য ব্লিপিং কম্পিউটারের সাথে অতিরিক্ত উপাদান ভাগ করেছে।
আমরা বঙ্গকে জিজ্ঞাসা করেছি কেন তিনি ইন্টারনেট আর্কাইভের ওয়েব্যাক মেশিনের মতো একটি পাবলিক পরিষেবা ব্যবহার করে পরীক্ষা ব্যক্তিগত প্রোফাইলটি সংরক্ষণাগারভুক্ত করেননি, যা বিদ্যমান ব্যক্তিগত ফটোগুলির লিঙ্ক সহ এইচটিএমএল সোর্স কোড সংরক্ষণ করতে পারে, যার ফলে বাগটির উপস্থিতি নির্বিবাদে নিশ্চিত করা যায়।
“ওয়েব্যাক মেশিন এই সার্ভার-সাইড লিক ট্রিগার করার জন্য প্রয়োজনীয় নির্দিষ্ট মোবাইল ব্যবহারকারী-এজেন্ট এবং হেডার পাঠায় না, তাই তাদের ক্রলাররা এটি ক্যাপচার করতে পারেনি,” গবেষক ব্লিপিং কম্পিউটারকে ব্যাখ্যা করেছেন।
প্রকাশিত চিঠিপত্রে, একজন মেটা দুর্বলতা ট্রাইজ বিশ্লেষক লিখেছেন:
শেষ পর্যন্ত, কথোপকথনের সময়, বিশ্লেষককে বলতে দেখা যায়:
“একটি অপ্রজননযোগ্য সমস্যা স্থির করা হয়েছিল তা এই সত্যটিকে পরিবর্তন করে না যে সেই সময়ে এটি পুনরুত্পাদনযোগ্য ছিল না। এমনকি যদি সমস্যাটি পুনরুত্পাদনযোগ্য ছিল, তবে এটি সম্ভব যে একটি ভিন্ন সমস্যা সমাধানের জন্য একটি পরিবর্তন করা হয়েছিল এবং এই সমস্যাটি একটি অনিচ্ছাকৃত পার্শ্ব প্রতিক্রিয়া হিসাবে সংশোধন করা হয়েছিল।”
“আমি জোর দিয়ে বলতে চাই যে আমি এখানে কোনো পুরস্কারের পেছনে ছুটছি না। এই প্রকাশটি সর্বজনীন করার মাধ্যমে, আমি পুরস্কারের কোনো সুযোগ হারিয়ে ফেলেছি,” বঙ্গ ইমেলের মাধ্যমে ব্লিপিং কম্পিউটারকে বলেছেন।
“লক্ষ্য হল স্বচ্ছতা। মেটা আমার রিপোর্টের 48-96 ঘন্টা পরে একটি উল্লেখযোগ্য গোপনীয়তা ফাঁস করেছে কিন্তু এটিকে ‘অনাকাঙ্ক্ষিত পার্শ্ব প্রতিক্রিয়া’ বলে খারিজ করে স্বীকার করতে অস্বীকার করেছে। লগ থাকা সত্ত্বেও প্রকৃত মূল কারণ অনুসন্ধানে তাদের অবহেলা এবং অনিচ্ছাটাই আসল সমস্যা।”
“কেউ জানে না যে এটি কতদিন ধরে শোষিত হয়েছে, কারণ এটি খুঁজে পাওয়া কঠিন ছিল না।”
ব্লিপিংকম্পিউটার প্রকাশের আগে তিনটি পৃথক অনুষ্ঠানে মন্তব্যের জন্য মেটার সাথে যোগাযোগ করেছিল কিন্তু একটি প্রতিক্রিয়া পায়নি।
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়ার মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লোগুলি তৈরি এবং স্কেল করতে পারে৷
.png "নিন্টেন্ডোর ভার্চুয়াল বয় অতীতের একটি নির্বোধ কিন্তু মজার বিস্ফোরণ")
