Нажать F12 и увидеть всё. Ваш закрытый профиль в инстаграме не такой уж и закрытый
В соцсети обнаружили ошибку, из-за которой закрытые профили выдавали прямые ссылки на фотографии.
Специалист по безопасности Джатин Банга опубликовал технические доказательства того, что некоторые закрытые профили Instagram* в отдельных случаях отдавали ссылки на изображения и подписи к ним посторонним посетителям. Речь идёт о профилях, где доступ к фото и видео должен быть открыт только подтверждённым подписчикам.
При обычном открытии такого профиля без авторизации показывается стандартное уведомление о том, что аккаунт закрыт и нужно подписаться для просмотра материалов. Однако в исходном коде страницы, который получает устройство пользователя, исследователь обнаружил встроенные ссылки на часть фотографий и текстов. Эти данные находились внутри служебного блока с данными и вели на файлы в сети доставки контента.
Проблема проявлялась не всегда и зависела от типа устройства и параметров запроса. По словам исследователя, при проверке тестовых закрытых профилей, к которым у него был легальный доступ, утечка наблюдалась примерно у 28% аккаунтов. Он опубликовал видео, где показан процесс получения таких ссылок без входа в систему.
О находке Банга сообщил компании Meta* ещё 12 октября 2025 года. Сначала специалисты компании посчитали, что причина связана с кешированием в сети доставки контента. Исследователь с этим не согласился и заявил, что ошибка возникала на стороне серверной логики, где не выполнялась корректная проверка прав доступа перед формированием ответа.
Он отправил дополнительный отчёт с пояснениями, после чего переписка с представителями компании продолжалась несколько дней. В итоге обращение закрыли со статусом «не применимо», так как повторить ошибку уже не удалось. При этом примерно через несколько дней после первого сообщения уязвимость перестала проявляться на всех проверенных профилях.
Специалист отметил, что дал компании более 100 дней на согласованное раскрытие информации, хотя стандартный срок составляет 90 дней. По его мнению, проблема была исправлена через 48–96 часов после отчёта, но без официального признания и объяснения причин. Он подчёркивает, что не претендует на вознаграждение и сделал публикацию ради прозрачности, поскольку неизвестно, как долго эта особенность могла использоваться на практике.
Для подтверждения он выложил архив материалов и переписку с представителями компании в открытый репозиторий. Дополнительные доказательства были переданы журналистам профильного издания. Сервис веб-архива не смог зафиксировать утечку, так как его роботы не отправляют нужные заголовки мобильного устройства, при которых проявлялась ошибка.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.