Vivemos uma era em que os problemas de segurança estão bastante presentes e são pautas de discussão constantes, principalmente no universo digital. Uma recente vulnerabilidade foi descoberta no Instagram, rede social que pertence ao Facebook, que permitia ao invasor acessar a várias informações pessoais dos utilizadores.
O bug, agora já corrigido, estava relacionado com uma falha na ferramenta de importação de contatos. Assim, o atacante conseguia ter acesso às informações pessoais de tantos usuários que quisesse.
A falha de segurança deu acesso a informações privadas, por exemplo, o número de telefone e o nome real do utilizador. Contudo, o Facebook já confirmou a existência da vulnerabilidade e garantiu que esta foi corrigida.
A descoberta desse bug ocorreu em agosto pelo investigador @ZHacker13. De acordo com a própria rede social, a exploração do bug poderia ter permitido a um agente malicioso associar números de telefone a detalhes do utilizador e fazer uso abusivo dessas informações. A única coisa que um cracker necessitaria era associar esses dados com base na brecha de segurança.
Um invasor mal-intencionado poderia tirar proveito dessa violação de segurança de forma muito simples. Bastava contornar os mecanismos que protegem esses dados - que era onde residia o erro - e, usando um conjunto de bots e processadores, poderia criar uma base de dados com as informações pessoais dos utilizadores.
O problema de segurança, neste caso, estava no importador de contatos da rede social. Este, quando combinado com um formulário de login, expunha a existência da vulnerabilidade. Segundo um porta-voz do Facebook, a empresa modificou o importador de contatos do Instagram para corrigir o problema detectado.
Contudo, o Facebook não queria recompensar o utilizador @ZHacker13 pela descoberta do bug. Apesar de ter um Bug bounty program (como uma caça a bugs com recompensas), o Facebook não queria pagar por afirmar ter descoberto a vulnerabilidade antes do seu relato. Não obstante, o utilizador confirmou que a empresa de Mark Zuckerberg mudou de ideia e que foi recompensado pelo seu trabalho.