Falha de segurança no Instagram expôs senhas de usuários
A falha, que apesar de ter atingido poucos usuários, levanta questões sobre métodos de segurança de dados utilizados por grandes empresas
Usuários do aplicativo Instagram foram notificados de uma nova falha de segurança que foi descoberta e que revelou as senhas de acesso para o público em geral, levantando questionamentos entre pesquisadores da área de segurança de redes sobre a confiabilidade e eficácia dos serviços de proteção e segurança de dados adotados pela rede social. A informação sobre o vazamento foi revelada na sexta-feira, 16 de novembro de 2018, pelo site especializado em tecnologia The Information.
A falha de segurança era percebida quando o usuário acessava o recurso “download de dados do usuário”, que foi introduzido aos usuários em abril para permitir que eles pudessem visualizar de forma extensa os seus dados pessoais coletados pelo Instagram, tais como fotos, comentários e postagens. O recurso foi implementado para que a rede social se adequasse com as novas regulações de privacidade de dados em vigor na Europa e também para atender as demandas dos usuários sobre mais informações sobre privacidade digital e uso de seus dados pessoais.
Acontece que ao fazer o download de dados, a senha de acesso do usuário aparecia na URL do navegador, deixando assim a senha visível para qualquer pessoa que fosse utilizar aquele mesmo computador, por meio do histórico de navegação ou até mesmo caso alguém estivesse presencialmente ao seu lado durante o processo. A falha é especialmente alarmante para aqueles que possam ter utilizado o recurso em uma biblioteca, lan-house, emprego ou em qualquer outro lugar com computadores compartilhados.
A falha também permitiu que as senhas ficassem armazenadas em computadores do Facebook, que é dono do Instagram desde 2012.
Um representante do Instagram declarou na sexta-feira que as falhas foram “descobertas internamente e afetaram apenas um pequeno número de usuários”, publicou o The Information.
Chet Wisniewski, o principal cientista pesquisador da SOPHOS – empresa de segurança parceira da SdREDES – afirmou que se o Instagram estivesse armazenando as senhas com a tecnologia de criptografia certa, esse tipo de falha não seria possível. Ele disse que a única maneira da informação aparecer na URL é se a senha estivesse armazenada no Instagram em texto simples, prática não recomendada na indústria da segurança da informação e que pode indicar problemas ainda maiores.
A brecha de segurança é o último dos vários problemas enfrentados pela Facebook ao longo do ano, o último tendo sido anunciado em setembro, um vazamento que “comprometeu a informação pessoal de mais de 30 milhões de usuários, incluindo gênero, ocupação, data de aniversários e localização”, reportou o The Information.
A brecha descoberta em setembro foi identificada no aplicativo do Facebook para celulares e aponta para a possibilidade de outros aplicativos desenvolvidos pelo Facebook também apresentarem falhas semelhantes.
Circula inclusive a informação que o Facebook está procurando comprar no mercado uma empresa de cibersegurança para reforçar suas defesas contra hackers e evitar falhas como as que ocorreram recentemente.
Foi reportado que o Facebook enviou uma mensagem aos usuários do Instagram que recentemente fizeram uso da ferramenta “download de dados do usuário” avisando que a falha não ocorre mais. O aviso também recomenda que usuários alterem suas senhas e limpem o histórico de navegação de seus navegadores.
