Nova falha do Instagram expõe suas publicações privadas para qualquer pessoa

Nova falha do Instagram expõe suas publicações privadas para qualquer pessoa – Canaltech

Uma falha crítica de segurança no Instagram pode expor seus posts privados para qualquer pessoa, inclusive usuários mal-intencionados. A descoberta foi feita pelo pesquisador Jatin Banga.

O problema está no servidor da infraestrutura da rede social da Meta, que permite que invasores acessem fotos e legendas privadas sem nem ao menos precisarem estar vinculados à plataforma por um login.

A análise identificou ainda que a vulnerabilidade depende de uma configuração de cabeçalhos HTTP que é usada para contornar medidas preventivas de privacidade na interface do Instagram na web.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Modo de ataque

De acordo com o pesquisador por trás da descoberta, a falha de infraestrutura afeta a lógica de autorização do servidor do Instagram. O erro ocorre quando há o envio de uma requisição GET não autenticada para o endereço da conta privada, que provoca uma resposta do servidor com dados JSON incorporados.

Falha grave na infraestrutura do Instagram expõe conteúdos de contas privadas sem permissão (Imagem: Unsplash/Zulfugar Karimov).

Normalmente, esse dado deveria estar vazio ou restrito a contas privadas que são visualizadas por pessoas que não seguem aquele perfil. Contudo, com a falha, o servidor retorna com links diretos para mídias privadas dos usuários, expondo tais conteúdos sem a devida autorização.

Banga ressaltou, porém, que a vulnerabilidade não chegou a afetar todas as contas privadas na plataforma: somente 28% das contas de teste analisadas foram comprometidas, enquanto o restante demonstrou processos seguros.

O especialista notificou a Meta acerca do problema, que eventualmente foi resolvido de maneira silenciosa pela empresa de Mark Zuckerberg depois que a companhia relutou em admitir a vulnerabilidade.