Vivemos uma era em que os problemas de segurança estão bastante presentes. Nesta temática, o Facebook – proprietário do Instagram – tem uma imagem muito manchada. A mais recente vulnerabilidade estava na rede social de fotografias, que permitia ao atacante aceder a várias informações pessoais dos utilizadores.
O bug, entretanto corrigido, estava relacionado com uma falha na ferramenta de importação de contactos. Assim, o atacante conseguia ter acesso às informações pessoais da quantidade de utilizadores que desejasse.
A falha de segurança encontrada no Instagram permitia ao invasor aceder a informações privadas do utilizador. A título de exemplo, o número de telefone e o nome real do utilizador. Contudo, o Facebook já confirmou a existência da vulnerabilidade e garantiu que esta foi corrigida.
A descoberta deste bug ocorreu em agosto e é trabalho do investigador @ZHacker13. De acordo com a própria rede social, a exploração do bug poderia ter permitido a um agente malicioso associar números de telefone a detalhes do utilizador e fazer uso abusivo dessas informações. A única coisa que um cracker necessitaria era de associar esses dados com base na brecha de segurança.
Um invasor mal intencionado poderia tirar proveito dessa violação de segurança de forma muito simples. Bastava contornar os mecanismos que protegem esses dados – que era onde residia o erro – e, usando um conjunto de bots e processadores, poderia criar uma base de dados com as informações pessoais dos utilizadores.
O problema de segurança, neste caso, estava no importador de contactos da rede social. Este, quando combinado com um ataque de brute force no formulário de login, expunha a existência da vulnerabilidade. Segundo um porta-voz do Facebook, a empresa modificou o importador de contactos do Instagram para corrigir o problema detetado.
Contudo, o Facebook não queria recompensar o utilizador @ZHacker13 pela descoberta do bug. Apesar de ter um Bug bounty program, o Facebook não queria pagar por afirmar ter descoberto a vulnerabilidade antes do seu relato. Não obstante, o utilizador confirmou que a empresa de Mark Zuckerberg mudou de ideias e que foi recompensado pelo seu trabalho.