Um caçador de recompensas descobriu uma vulnerabilidade que poderia afetar mais de 20 milhões de contas do Instagram. A falha detectada por Arne Swinne, um consultor de segurança digital belga, utiliza o sistema de autenticação de login para dar acesso a informações do perfil. Com isso, um hacker mal intencionado poderia alterar o número do telefone para roubar perfis na rede social.
A falha afetava a API do Android, além da versão Web. Como recompensa, o Instagram pagou US$ 5 mil (cerca de R$ 18 mil) a Swinne. A rede social já corrigiu o problema, em um patch lançado no último dia 19 de maio.
A principal falha estava no sistema de senha adotado pelo Instagram. Swinne descobriu que a rede social não limitava a quantidade de vezes em que podia errar a senha e tentar o login. Além disso, em algumas tentativas a rede social avisava que a senha digitada estava incorreta.
Logo após, o consultor de segurança digital utilizou a tática conhecida como ‘força-bruta’. Desenvolveu um um script para testar em sequência milhares de senhas até encontrar a correta. O erro ficou ainda mais escancarado quando foi possível acessar a conta utilizando o mesmo IP usado no ataque.
Swinne descobriu ainda outro bug. Além de ter poder ter acesso a informações pessoais dos usuários, era possível alterar o número de telefone da conta do Instagram. Com isso, mesmo os usuários que utilizam a verificação de duas etapas estavam expostos, já que também era possível alterar a função de senha via SMS.
Não é a primeira vez que o Instagram passa por problemas de segurança. Em 2013, a rede social foi alvo de ataques. Na ocasião, vários usuários reclamaram que fotos estavam sendo publicadas sem autorização.
A dica principal para evitar qualquer tipo de transtorno é a utilização de senhas fortes, com com combinações aleatórias de letras, números e caracteres especiais. Além disso, é recomendado que a senha seja alterada a cada três meses. Veja também mais sete dicas e sugestões de como proteger a sua conta do Instagram.
Tech Tudo
