Secuestro de sesión simulada.

Hola gente, hoy he echo una lab para comprobar como es que funcionaba el secuestro de sesión vía cookie con la plataforma instagram.
Después de indagar un poco he programado una script para capturar todas las cookies, se supone que con la 'session_id' es suficiente, pero yo he capturado todas por si acaso.
Bueno, todo iva bien hasta que cuando he pegado las cookies de sesión de la "víctima" en el navegador del "atacante" no iba bien, para haceros una idea, en la sesión del navegador de la "víctima" se podían ver las historias, contactos, etc... , en cambio, en la sesión del navegador del "atacante" solo se veía el usuario pero no todo lo demás.

Pic related de la sesión del "atacante":
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
¿Veis cómo no se ven los contactos ni historias ni nada?
No sé porque pasa esto y me gustaría que alguien arrojase un poco de luz sobre esto, porque no se a que se deve, literalmente he copiado y pegado todas las cookies tal cual y no va.
En teoría devería ir...
En fin, si alguien sabe porque pasa esto que me lo explique y me de una idea de como se hace porque no creo que me haya salido bien a mi.

Hola.

Es porque no tiene el ID de la víctima. Con las cookies solas no basta. Solo tiene parcializado una info off-line.

Para cualquier red social debe tener el ID del usuario. Incluso si conecta enseguida le bloquea pidiéndole confirmación de seguridad.

El ID es un perfil creado por la plataforma en el cual está recopilada información válida crucial del usuario previamente confirmada a través de su sistema de seguridad establecido: dispositivo (puede incluir identificación de hardware si es quisquilloso), sistema operativo y versión del mismo, navegador, en menor escala IP asociadas previamente logueadas en seguridad, etc. (pudiera incluirse otros particulares de la plataforma como un archivo para ese fin, y las cookies).

Si lo anterior no concuerda en una sesión establecida, aunque sea a través de cookies, bloquea y pide confirmación. Por otro lado hay información que solo muestra la plataforma cuando está on-line.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola.

Es porque no tiene el ID de la víctima. Con las cookies solas no basta. Solo tiene parcializado una info off-line.

Para cualquier red social debe tener el ID del usuario. Incluso si conecta enseguida le bloquea pidiéndole confirmación de seguridad.

El ID es un perfil creado por la plataforma en el cual está recopilada información válida crucial del usuario previamente confirmada a través de su sistema de seguridad establecido: dispositivo (puede incluir identificación de hardware si es quisquilloso), sistema operativo y versión del mismo, navegador, en menor escala IP asociadas previamente logueadas en seguridad, etc. (pudiera incluirse otros particulares de la plataforma como un archivo para ese fin, y las cookies).

Si lo anterior no concuerda en una sesión establecida, aunque sea a través de cookies, bloquea y pide confirmación. Por otro lado hay información que solo muestra la plataforma cuando está on-line.

¿Y sabes si hay alguna manera de capturar el ID del usuario también o no se puede?

Sí se hace: capturar el ID de usuario (buscar en internet >>> hacking method capture user ID). No sabría darle detalles pues nunca lo he hecho (no es lo mío, ni me interesa).

He visto que venden los perfiles de ID en Foros. Estos se cargan a través de un add-on, o extensión para el navegador, que es el que gestiona el ID en el dispositivo: lo carga, cambia, etc.

No recuerdo el nombre de la extensión. Aquí en el Foro se habló de ello (el proceso incluyendo la extensión).

Le recomendaría que use el buscador del Foro, tópicos relacionados: cargar ID de usuario con extensión para el navegador, etc.
En internet hay varios tutoriales (en inglés) de cómo se realiza todo el proceso.