Um bug no Instagram revelou e-mails e números de telefone de contas verificadas na rede social. De acordo com a Kaspersky, hackers exploraram um bug que permitia que fossem roubadas informações desses perfis e estão negociando esses dados em fóruns clandestinos. A fabricante de antivírus disse, ainda, que seus pesquisadores perceberam a falha e notificaram o Instagram na terça-feira (29) e compartilharam uma breve análise técnica do incidente com a equipe da rede social.
O levantamento mostra que a vulnerabilidade estava presente na versão 8.5.1 do aplicativo, de 2016. A versão atual é de número 13.0.0. Sendo assim, uma dica sempre válida é manter seus aplicativos atualizados. O Instagram informa que já corrigiu o bug explorado pelo grupo, mas sugeriu que seus usuários vítimas da exploração de dados trocassem suas senhas para evitar novos problemas.
De acordo com a Kaspersky, o processo de ataque é simples: usando o aplicativo desatualizado, o atacante seleciona a opção "redefinir senha" e captura a solicitação usando um proxy. Depois disso, selecionam uma vítima e enviam uma solicitação ao servidor do Instagram carregando o identificador ou nome de usuário exclusivo do alvo. O servidor retorna com uma resposta JSON com informações pessoais da vítima, incluindo dados sensíveis como e-mail e telefone.
O esforço de mão-de-obra, porém, é grande. Cada ataque deve ser feito manualmente, conta por conta. Vítima por vítima. O Instagram usa cálculos matemáticos para evitar que os invasores automatizem o formulário de solicitação de novas senhas, justamente para e
... vitar incidentes deste tipo na rede social.
“É muito importante que usuários de redes sociais usem todos os recursos de segurança oferecidos pelas plataformas a seu favor, a fim de dificultar ainda mais ataques como esse. Recursos como a dupla autenticação, alertas de logins desconhecidos, uso de senhas únicas, são boas práticas recomendadas a todos”, disse Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil.
Além da troca de senha, usar endereços de e-mail diferentes para diferentes redes sociais evita que, ao sofrer algum ataque em uma delas, sejam comprometidas outras contas. Caso você tenha ou conheça alguém que tem uma conta verificada no Instagram e receba e-mails sobre uma restauração de senha que você não iniciou nem pediu, alerte a rede social imediatamente pelo sistema de suporte.
A rede social afirma que as senhas não foram vazadas, apenas celulares e e-mails.
A Kaspersky não revelou quantas credenciais e dados de telefone e e-mails estavam sendo negociados online, nem o valor cobrado pelos hackers para a aquisição dessas informações que podem levam a novos golpes de phishing.
