Arne Swinnen, da Bélgica, trabalha como caçadores de recompensas — no caso, procurando bugs e vulnerabilidades em softwares, aplicações e sites. Swinnen, por meio de um post em seu próprio blog, alertou a descoberta de duas grandes vulnerabilidades no Instagram, a rede social de fotos do Facebook.
Swinnen comentou que este problema permitiu que ele conseguisse pegar senhas de usuários por meio da força bruta, sem qualquer esforço. O ataque de força bruta consiste na verificação sistemática de todas as possibilidades alfanuméricas utilizadas como senha — o processo de busca só termina quando a senha correta é encontrada.
A vulnerabilidade em questão está na API do Android e na versão web do Instagram. Como você mesmo pode acompanhar a descoberta nesse link, Swinnen alertou ao time do Instagram que, como recompensa, pagou US$ 5 mil (R$ 17 mil) ao belga. O problema também já foi corrigido com um patch.
Swinnen disse que a falha atinge 4% dos usuários, que são 20 milhões de contas
De acordo com o caçador de recompensas, a falha estava exatamente no sistema de senha utilizado pelo Instagram, já que ele não limitava a quantidade de entradas (tentativa e erro) ao tentar realizar o login. Outra vulnerabilidade era alterar o número de telefone vincula à conta. Ou seja, até os usuários com verificação de duas etapas estavam expostos.
Como se proteger
Lembre-se: na hora de criar contas, use senhas criativas — nem que você tenha que armazená-las em outro local. Use desde letras e números até caracteres especiais, como ponto de interrogação, cifrão etc. Se você tiver paciência, ainda troque essa senha a cada três meses.
Fontes
Categorias