Uma falha crítica de segurança no Instagram pode expor seus posts privados para qualquer pessoa, inclusive usuários mal-intencionados. A descoberta foi feita pelo pesquisador Jatin Banga.
- Instagram nega vazamento de dados de 17,5 milhões de usuários na dark web
- Como deixar o Instagram mais seguro | 7 dicas
O problema está no servidor da infraestrutura da rede social da Meta, que permite que invasores acessem fotos e legendas privadas sem nem ao menos precisarem estar vinculados à plataforma por um login.
A análise identificou ainda que a vulnerabilidade depende de uma configuração de cabeçalhos HTTP que é usada para contornar medidas preventivas de privacidade na interface do Instagram na web.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Modo de ataque
De acordo com o pesquisador por trás da descoberta, a falha de infraestrutura afeta a lógica de autorização do servidor do Instagram. O erro ocorre quando há o envio de uma requisição GET não autenticada para o endereço da conta privada, que provoca uma resposta do servidor com dados JSON incorporados.
Normalmente, esse dado deveria estar vazio ou restrito a contas privadas que são visualizadas por pessoas que não seguem aquele perfil. Contudo, com a falha, o servidor retorna com links diretos para mídias privadas dos usuários, expondo tais conteúdos sem a devida autorização.
Banga ressaltou, porém, que a vulnerabilidade não chegou a afetar todas as contas privadas na plataforma: somente 28% das contas de teste analisadas foram comprometidas, enquanto o restante demonstrou processos seguros.
O especialista notificou a Meta acerca do problema, que eventualmente foi resolvido de maneira silenciosa pela empresa de Mark Zuckerberg depois que a companhia relutou em admitir a vulnerabilidade.
Leia também:
- Usado por todo mundo, WinRAR é explorado por hackers para roubar senhas
- Violação de segurança no SoundCloud impacta quase 30 milhões de contas
- Hackers “sequestram” recurso de convite a equipes da OpenAI para roubar dados
Leia a matéria no Canaltech.
