Serviço que aumenta número de seguidores no Instagram vaza senhas de usuários
Por Felipe Ribeiro | 31 de Janeiro de 2020 às 10h40
Muito comuns, as empresas que fornecem o serviço de impulsionamento de seguidores nas redes sociais vira e mexe estão nos noticiários de tecnologia e, na maioria das vezes, com notícias envolvendo falhas de segurança e vazamentos. A bola da vez é a Social Captain, uma startup que faz esse trabalho no Instagram e que teve senhas de usuários que se cadastraram na plataforma vazadas nesta semana.
De acordo com apuração do TechCrunch, a Social Captain estava armazenando as senhas de contas vinculadas do Instagram em texto sem criptografia. Qualquer usuário que visualizasse o código-fonte da página da web por meio do seu perfil na plataforma poderia ver estes detalhes, bastando estar logado.
Para piorar as coisas, um bug no site permitia que qualquer pessoa acessasse o perfil de todos os usuários do Social Captain sem precisar fazer login. Para isso, bastava conectar o ID da conta exclusiva do usuário ao endereço da empresa para garantir o acesso à conta do Social Captain e às credenciais de login do Instagram. Isso acontecia, também, porque essas identificações possuem números sequenciais, o que aumentou, claro, a vulnerabilidade.
Um pesquisador de segurança, que pediu para não ser identificado, alertou o TechCrunch sobre a vulnerabilidade e forneceu uma planilha com cerca de 10 mil contas que vazaram. Este arquivo continha cerca de 4.700 conjuntos completos de nomes de usuário e senhas do Instagram, com o restante dos registros contendo apenas o nome e o email. Além disso, era possível saber se os perfis eram de teste (gratuito) ou premium (pago). Nas contas pagas, que somaram 70, era possível ver, inclusive, os endereços de cobrança.
Problema ainda persiste
De acordo com o pessoal do TechCrunch, mesmo após a empresa ter dito que o problema havia sido sanado, era possível acessar senhas e outras informações das contas por meio do código-fonte da web. O acesso direto a esses perfis, porém, não era mais possível.
"As primeiras análises indicam que o problema apareceu nas últimas semanas porque o terminal destinado a facilitar a integração com um serviço de email de terceiros ficou temporariamente acessível sem autenticação baseada em token. Assim que finalizarmos a investigação interna, alertaremos os usuários que podem ter sido afetados no caso de uma violação e solicitaremos que eles atualizem as combinações de nome de usuário e senha associadas", disse Anthony Rogers, diretor-executivo da Social Captain, sem mencionar quanto tempo essa investigação demorará.
O Instagram, por sua vez, disse que o serviço violou seus termos de serviço ao armazenar incorretamente credenciais de login. “Estamos investigando e tomaremos as medidas apropriadas. Nós encorajamos as pessoas a nunca fornecerem suas senhas a alguém que não conhecem ou confiam”, disse um porta-voz do Instagram, em comunicado.
O recomendado no momento, é que usuários que se inscreveram no Social Captain alterem suas senhas do Instagram imediatamente.
Fonte: TechCrunch