Uma falha crítica de segurança no Instagram pode expor seus posts privados para qualquer pessoa, incluindo usuários mal-intencionados. A descoberta foi feita pelo pesquisador Jatin Banga, que identificou um problema na lógica de autorização do servidor da rede social, pertencente à Meta.
Como a falha ocorre
O erro permite que invasores acessem fotos e legendas privadas sem a necessidade de estar vinculados à plataforma por meio de login. A análise realizada por Banga revelou que a vulnerabilidade depende de uma configuração inadequada de cabeçalhos HTTP, que contorna as medidas de privacidade implementadas na interface do Instagram na web.
Impacto da vulnerabilidade
De acordo com o pesquisador, a falha afeta a lógica de autorização do servidor do Instagram. Quando uma requisição GET não autenticada é enviada para o endereço de uma conta privada, o servidor responde com dados JSON que, normalmente, deveriam estar vazios ou restritos. Contudo, a falha faz com que o servidor retorne links diretos para mídias privadas dos usuários, expondo esses conteúdos sem a devida autorização.
Banga também ressaltou que a vulnerabilidade não comprometeu todas as contas privadas na plataforma. Apenas 28% das contas de teste analisadas apresentaram problemas, enquanto o restante demonstrou processos seguros.
Notificação e resolução
O especialista notificou a Meta sobre a vulnerabilidade, que foi eventualmente resolvida de maneira silenciosa. Inicialmente, a empresa relutou em admitir a falha, mas tomou as medidas necessárias para corrigir o problema.
Opinião
A descoberta de Jatin Banga destaca a importância da vigilância constante em plataformas digitais, onde a privacidade dos usuários deve ser sempre uma prioridade.
