Nova falha do Instagram expõe suas publicações privadas para qualquer pessoa

Por Jaqueline Sousa • Editado por Jones Oliveira | 29/01/2026 às 10:50

Compartilhe:

Uma falha crítica de segurança no Instagram pode expor seus posts privados para qualquer pessoa, inclusive usuários mal-intencionados. A descoberta foi feita pelo pesquisador Jatin Banga.

O problema está no servidor da infraestrutura da rede social da Meta, que permite que invasores acessem fotos e legendas privadas sem nem ao menos precisarem estar vinculados à plataforma por um login.

A análise identificou ainda que a vulnerabilidade depende de uma configuração de cabeçalhos HTTP que é usada para contornar medidas preventivas de privacidade na interface do Instagram na web.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

Continua após a publicidade

Modo de ataque

De acordo com o pesquisador por trás da descoberta, a falha de infraestrutura afeta a lógica de autorização do servidor do Instagram. O erro ocorre quando há o envio de uma requisição GET não autenticada para o endereço da conta privada, que provoca uma resposta do servidor com dados JSON incorporados.

Normalmente, esse dado deveria estar vazio ou restrito a contas privadas que são visualizadas por pessoas que não seguem aquele perfil. Contudo, com a falha, o servidor retorna com links diretos para mídias privadas dos usuários, expondo tais conteúdos sem a devida autorização.

Banga ressaltou, porém, que a vulnerabilidade não chegou a afetar todas as contas privadas na plataforma: somente 28% das contas de teste analisadas foram comprometidas, enquanto o restante demonstrou processos seguros.

O especialista notificou a Meta acerca do problema, que eventualmente foi resolvido de maneira silenciosa pela empresa de Mark Zuckerberg depois que a companhia relutou em admitir a vulnerabilidade.