Um caçador de recompensas descobriu uma vulnerabilidade que poderia afetar mais de 20 milhões de contas do Instagram. A falha detectada por Arne Swinne, um consultor de segurança digital belga, utiliza o sistema de autenticação de login para dar acesso a informações do perfil. Com isso, um hacker mal intencionado poderia alterar o número do telefone para roubar perfis na rede social.

Instagram pode excluir contas inativas e 'dar login' a outros; entenda

A falha afetava a API do Android, além da versão Web. Como recompensa, o Instagram pagou US$ 5 mil (cerca de R$ 18 mil) a Swinne. A rede social já corrigiu o problema, em um patch lançado no último dia 19 de maio.

Download grátis do app do TechTudo: receba dicas e notícias de tecnologia no Android ou iPhone

A principal falha estava no sistema de senha adotado pelo Instagram. Swinne descobriu que a rede social não limitava a quantidade de vezes em que podia errar a senha e tentar o login. Além disso, em algumas tentativas a rede social avisava que a senha digitada estava incorreta.

Logo após, o consultor de segurança digital utilizou a tática conhecida como ‘força-bruta’. Desenvolveu um um script para testar em sequência milhares de senhas até encontrar a correta. O erro ficou ainda mais escancarado quando foi possível acessar a conta utilizando o mesmo IP usado no ataque.

Swinne descobriu ainda outro bug.  Além de ter poder ter acesso a informações pessoais dos usuários, era possível alterar o número de telefone da conta do Instagram. Com isso, mesmo os usuários que utilizam a verificação de duas etapas estavam expostos, já que também era possível alterar a função de senha via SMS.

O Instagram ficou melhor com visual preto e branco? Comente no Fórum do TechTudo.

Não é a primeira vez que o Instagram passa por problemas de segurança. Em 2013, a rede social foi alvo d