Nova falha do Instagram expõe suas publicações privadas para qualquer pessoa
Uma falha crítica de segurança no Instagram pode expor seus posts privados para qualquer pessoa, inclusive usuários mal-intencionados. A descoberta foi feita pelo pesquisador Jatin Banga. Instagram nega vazamento de dados de 17,5 milhões de usuários na dark web Como deixar o Instagram mais seguro | 7 dicas O problema está no servidor da infraestrutura da rede social da Meta, que permite que invasores acessem fotos e legendas privadas sem nem ao menos precisarem estar vinculados à plataforma por um login. A análise identificou ainda que a vulnerabilidade depende de uma configuração de cabeçalhos HTTP que é usada para contornar medidas preventivas de privacidade na interface do Instagram na web. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Modo de ataque De acordo com o pesquisador por trás da descoberta, a falha de infraestrutura afeta a lógica de autorização do servidor do Instagram. O erro ocorre quando há o envio de uma requisição GET não autenticada para o endereço da conta privada, que provoca uma resposta do servidor com dados JSON incorporados. Falha grave na infraestrutura do Instagram expõe conteúdos de contas privadas sem permissão (Imagem: Unsplash/Zulfugar Karimov). Normalmente, esse dado deveria estar vazio ou restrito a contas privadas que são visualizadas por pessoas que não seguem aquele perfil. Contudo, com a falha, o servidor retorna com links diretos para mídias privadas dos usuários, expondo tais conteúdos sem a devida autorização. Banga ressaltou, porém, que a vulnerabilidade não chegou a afetar todas as contas privadas na plataforma: somente 28% das contas de teste analisadas foram comprometidas, enquanto o restante demonstrou processos seguros. O especialista notificou a Meta acerca do problema, que eventualmente foi resolvido de maneira silenciosa pela empresa de Mark Zuckerberg depois que a companhia relutou em admitir a vulnerabilidade. Leia também: Usado por todo mundo, WinRAR é explorado por hackers para roubar senhas Violação de segurança no SoundCloud impacta quase 30 milhões de contas Hackers “sequestram” recurso de convite a equipes da OpenAI para roubar dados Leia a matéria no Canaltech.