Vulnerabilidade no Instagram expõe informações pessoais dos usuários | WeLiveSecurity

Vulnerabilidade no Instagram expõe informações pessoais dos usuários

A falha, que já foi corrigida pelo Facebook, permitia o acesso a informações privadas dos usuários que poderiam ser usadas por cibercriminosos.

A falha, que já foi corrigida pelo Facebook, permitia o acesso a informações privadas dos usuários que poderiam ser usadas por cibercriminosos.

Essa é uma falha de segurança que permitia que um atacante acessasse informações de uma conta, como o número de telefone completo e o nome real de um usuário – embora o Facebook, que confirmou a existência da vulnerabilidade, já tenha corrigido a falha.

A descoberta desta falha ocorreu em agosto através do pesquisador @ZHacker13. De acordo com a própria rede social, a exploração da falha pode ter permitido a um cibercriminoso associar números de telefone a dados dos usuários e usar abusivamente essa informação, o que representava um risco para os usuários. A vinculação desses dados deve ser a única coisa que um cibercriminoso pode ter precisado para afetar um usuário.

Coincidentemente, no início de setembro, foi descoberto um banco de dados mal configurado contendo uma lista de números de telefone e nomes de usuários composta por 419 milhões de usuários do Facebook de diferentes partes do mundo. E há cerca de uma semana, o pesquisador ZHacker13 explicou ao jornalista da Forbes, Zak Doffman, que ele havia detectado uma vulnerabilidade no Instagram que poderia burlar os mecanismos de segurança da plataforma e permitiria o acesso a um tipo de banco de dados semelhante ao conhecido recentemente, fazendo com que um cibercriminoso pudesse usar essas informações, composta por uma longa lista de números de telefone, IDs de usuários, nomes de usuários e nomes reais.

O pesquisador explicou à Forbes que um atacante poderia tirar vantagem dessa brecha de segurança e evitar os mecanismos que protegem esses dados, usando um exército de bots e processadores para criar um banco de dados de usuários acessível e viável de ser atacado.

O problema era com o importador de contatos da plataforma, que quando combinado com um ataque de força bruta em seu formulário de login expunha a existência da vulnerabilidade, explica o artigo. De acordo com um porta-voz do Facebook, a empresa confirmou que modificou o importador de contatos no Instagram para evitar qualquer exploração da falha.

Para entender a magnitude da descoberta, o pesquisador compartilhou com o jornalista detalhes de como a vulnerabilidade poderia ser explorada e disse que com poder de processamento suficiente seria possível criar um banco de dados composto por números de telefone e dados de milhões de usuários do Instagram.

Por sua vez, o jornalista compartilhou a informação com o pesquisador da ESET, Lukas Stefanko, que validou a explicação e confirmou que seria possível.

No início, o Facebook disse ao pesquisador que, embora a vulnerabilidade descoberta fosse grave, a empresa já estava ciente da falha e não seria recompensada por seu programa de bugbounty – entretanto, a rede social reverteu seus passos e reconsiderou sua decisão e recompensará @ZHacker13 por relatar a falha.

Discussão