文章总结： Instagram曝严重逻辑漏洞，利用特定移动端请求头发送未认证请求，可直接从响应中提取CDN链接访问私密帖子。该漏洞具条件性与隐蔽性，经研究人员多次向Meta提交复现证据后，平台在48小时内完成修复。 综合评分： 82 文章分类： 漏洞分析,漏洞POC,SRC活动,数据安全

Instagram隐私漏洞：私密账号并不私密

原创

OwlSec OwlSec

猫头鹰OSINT

2026年1月26日 11:50 四川

最近国外一名安全研究人员披露了一个 Instagram 严重漏洞：在特定条件下，未登录、未关注的任何人，都可以直接访问本应“仅限好友可见”的私人帖子内容。

作者在开发一个与 Instagram 网页端相关的自动化工具时，注意到一个异常现象：

当访问某些私密账号的页面时，返回的HTML源码中，竟然包含了完整的帖子数据。更关键的是——访问者不需要登录，也不需要任何权限。

起初，作者以为只是 CDN 缓存异常或显示错误，但在反复测试了多个自己可控的私密账号后，他确认了一点：这不是前端显示问题，而是后端已经把“不该给你看的数据”，直接塞进了响应里。

漏洞原理

利用漏洞的方法很简单：

1.向 instagram.com/<private\_username> 发送未经身份验证的 GET 请求，并带有特定的移动设备请求头。

2.服务器返回包含嵌入式 JSON 的 HTML，其中包含 polaris\_timeline\_connection

3.从 edges 数组中提取 CDN 链接

4.直接访问带有说明文字的私人照片

整个过程没有任何鉴权校验。也就是说，所谓“私密”，只是在正常访问流程中成立，但在某些边缘请求路径下，权限判断被直接绕过。

Poc脚本暴露了Instagram私密帖子

非“全量失效”，而是“条件性漏洞”

这个漏洞，并不是对所有私密账号都生效。作者测试的多个账号中，只有一部分账号出现了内容泄露，另一部分则完全正常。

这类漏洞在安全领域有一个典型特征：不稳定、不易复现、极易被官方低估风险。

但从攻击者角度看，这恰恰是最理想的漏洞形态：不容易被监控发现，却可能长期存在。

向 Meta 报告后的真实经历

发现问题后，作者第一时间走了正规漏洞披露流程，向 Meta 的漏洞赏金平台提交了报告：

• 提供了详细的技术分析
• 提供了 PoC 脚本
• 提供了视频和时间戳证据

结果却并不理想。

第一次回应

Meta 认为这是 CDN 缓存问题，直接关闭了报告。

再次提交

作者重新强调这是服务器端授权失败，并提供了更清晰的复现路径。

Meta 要求在官方测试账号中复现，但由于漏洞具备“条件性”，首次测试失败。

直到作者提供了一个已确认可触发问题的账号，Meta 才承认异常存在。

在确认问题后，大约48小时内，漏洞被悄然修复。

信息来源：

https://medium.com/@jatin.b.rx3/i-found-a-bug-that-exposed-private-instagram-posts-to-anyone-eebb7923f7e3

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：猫头鹰OSINT OwlSec OwlSec《Instagram隐私漏洞：私密账号并不私密》