A falha que já foi reparada pelo Facebook, permitia aceder a informação privada do utilizador que poderia ser utilizada de forma abusiva por agentes mal-intencionados.
Trata-se de uma falha de segurança que permitia a um atacante aceder a informação de uma conta, como o número de telemóvel, o nome real do utilizador; embora o Facebook tenha conformado a existência da vulnerabilidade, já reparou a falha.
A descoberta desta vulnerabilidade ocorreu durante o mês de agosto e é obra do investigador @ZHacker13. Segundo a própria rede social, a exploração da falha pode ter permitido a agentes mal-intencionados associar números de telemóvel com detalhes dos utilizadores e fazer um uso abusivo desta informação, o que representava um risco para os utilizadores. A única coisa que um hacker precisaria para afetar um utilizador seria a vinculação desses dados.
Casualmente, no início de setembro foi descoberta a existência de base de dados mal configurada que continha uma lista de números de telemóvel e nomes de utilizadores composta por 419 milhões de utilizadores de diferentes partes do mundo. E há cerca de uma semana, o investigador ZHacker13 explicou ao jornalista da Forbes, Zak Doffman, que tinha detetado uma vulnerabilidade no Instagram que permitiria escapar aos mecanismos de segurança da plataforma, e aceder a um tipo de base de dados similar ao que tinha sido descoberto recentemente, a qual permitiria a um hacker fazer uso abusivo desta informação composta por uma grande lista de números de telemóvel, ID de utilizadores, nomes de utilizador e nomes reais.
O investigador explicou ao meio que um hacker poderia aproveitar-se desta falha de segurança utilizando um exército de bots e processadores que permitiriam construir uma base de dados de utilizadores acessível e possível de atacar, que lhe permitiriam evadir os mecanismos de proteção que protegem esses dados.
O problema estava no importador de contactos da plataforma, que ao ser combinado com um ataque de force brute no seu formulário de início de sessão deixava exposta a existência da vulnerabilidade, explica o artigo. Segundo um porta-voz do Facebook, a companhia confirmou a modificação do importador de contactos no Instagram para prevenir qualquer abuso da vulnerabilidade.
Para compreender a magnitude da falha, o investigador partilhou com o jornalista detalhes de como podia ser explorada a vulnerabilidade e assegurou que com capacidade de processamento suficiente seria possível criar uma base de dados composta por números de telemóvel e dados de milhões de utilizadores do Instagram.
Por seu turno, o jornalista partilhou a informação com o investigador da ESET, Lukas Stefanko, que validou a explicação e confirmou essa mesma possibilidade.
Inicialmente, o Facebook disse ainda ao investigador que, embora a vulnerabilidade descoberta fosse grave, a empresa já estava ciente da mesma, de modo que não seria recompensada pelo seu programa de recompensa de bugs; no entanto, a rede social recuou e reconsiderou a decisão e assumiu que recompensará o @ ZHacker13 por reportar a decisão.