Vulnerabilidade no Instagram colocou em risco informações pessoais dos usuários

Por Wellington Botelho

Uma vulnerabilidade no Instagram colocou em risco dados pessoais dos usuários. A falha, que já foi corrigida pelo Facebook, permitia o acesso a informações privadas que poderiam ser usadas por cibercriminosos.

A brecha permitia que um atacante acessasse informações de uma conta, como o número de telefone completo e o nome real de um usuário, de acordo com informações da ESET.

A descoberta desta falha ocorreu em agosto através do pesquisador @ZHacker13. De acordo com a própria rede social, a exploração da falha pode ter permitido a um cibercriminoso associar números de telefone a dados dos usuários e usar abusivamente essa informação, o que representava um risco para os usuários. A vinculação desses dados deve ser a única coisa que um cibercriminoso pode ter precisado para afetar um usuário.

Coincidentemente, no início de setembro, foi descoberto um banco de dados mal configurado contendo uma lista de números de telefone e nomes de usuários composta por 419 milhões de usuários do Facebook de diferentes partes do mundo. E há cerca de uma semana, o pesquisador ZHacker13 explicou ao jornalista da Forbes, Zak Doffman, que ele havia detectado uma vulnerabilidade no Instagram que poderia burlar os mecanismos de segurança da plataforma e permitiria o acesso a um tipo de banco de dados semelhante ao conhecido recentemente, fazendo com que um cibercriminoso pudesse usar essas informações, composta por uma longa lista de números de telefone, IDs de usuários, nomes de usuários e nomes reais.

O pesquisador explicou à Forbes que um atacante poderia tirar vantagem dessa brecha de segurança e evitar os mecanismos que protegem esses dados, usando um exército de bots e processadores para criar um banco de dados de usuários acessível e viável de ser atacado.

O problema era com o importador de contatos da plataforma, que quando combinado com um ataque de força bruta em seu formulário de login expunha a existência da vulnerabilidade, explica o artigo. De acordo com um porta-voz do Facebook, a empresa confirmou que modificou o importador de contatos no Instagram para evitar qualquer exploração da falha.

Para entender a magnitude da descoberta, o pesquisador compartilhou com o jornalista detalhes de como a vulnerabilidade poderia ser explorada e disse que com poder de processamento suficiente seria possível criar um banco de dados composto por números de telefone e dados de milhões de usuários do Instagram.

No início, o Facebook disse ao pesquisador que, embora a vulnerabilidade descoberta fosse grave, a empresa já estava ciente da falha e não seria recompensada por seu programa de bugbounty – entretanto, a rede social reverteu seus passos e reconsiderou sua decisão e recompensará @ZHacker13 por relatar a falha.

Com informações da ESET

LEIA TAMBÉM: 

Conteúdo Patrocinado
Loading...
Revisa el siguiente artículo