Facebook paga US$ 30 mil por descoberta de vulnerabilidades no Instagram

Por Felipe Gugelmin | Editado por Claudio Yuge | 16 de Junho de 2021 às 22h10

Link copiado!

Tudo sobre Instagram

As preocupações crescentes dos usuários com sua privacidade têm incentivado empresas a investir cada vez mais na área, muitas vezes pagando caro para evitar problemas que podem se provar ainda mais dispendiosos caso não sejam lidados de forma adequada. Entre as empresas que se encaixam nessa descrição está o Facebook, que pagou US$ 30 mil (R$ 151 mil) a um pesquisador que descobriu uma brecha de segurança no Instagram.

A descoberta foi relatada por seu autor, Mayur Fartade, em uma publicação feita no Medium. Nela, ele descreve que a falha permitia que um usuário malicioso tivesse acesso a publicações, stories, reels, conteúdos do IGTV e outras informações de um perfil bloqueado mesmo sem segui-lo — incluindo imagens e vídeos que haviam sido arquivados.

Continua após a publicidade

Usando força bruta ou outros meios, um atacante poderia obter o Media ID de um perfil e em seguida enviar um pedido POST ao endpoint GraphQL do Instagram. Com isso, ele conseguia obter os URLs de display e das imagens, bem como o histórico no número de curtidas e das vezes que o material foi salvo.

Além de permitir o acesso a perfis restritos, a brecha também possibilita obter dados de qualquer página do Facebook ligada aos usuários vulneráveis. Segundo Fartade, os problemas foram relatados à empresa no dia 16 de abril, e ela entrou em contato com ele no dia 19 do mesmo mês pedindo mais detalhes.

No dia 22 de abril o relato passou pela triagem do Facebook e, no dia seguinte, Fartade relatou uma segunda descoberta — a primeira correção do bug foi publicada no dia 29 do mesmo mês. A recompensa de US$ 30 mil foi enviada pela rede social no dia 15 de junho, acompanhada de uma mensagem agradecendo pela contribuição que ajudou a tornar o Instagram mais seguro.

Fonte: Mayur Fartade/Medium