O Instagram divulgou ontem que vários hackers têm explorado um bug no Instagram que lhes permite obter as credenciais de utilizadores, incluindo de celebridades. Investigadores da Kaspersky Lab que se aperceberam do erro, avisaram e partilharam uma breve análise técnica com o Instagram na terça-feira, dia 29 de agosto.
Os investigadores descobriram que a vulnerabilidade está presente na versão móvel 8.5.1 do Instagram, lançada em 2016 (a versão atual é a 12.0.0). O processo de ataque é relativamente simples: utilizando uma versão desatualizada, os hackers selecionam a opção de repor a palavra-passe e intercetam o pedido usando um proxy de web. De seguida, escolhem uma vítima e enviam o pedido para o servidor do Instagram com o nome ou a identificação do alvo. O servidor, por sua vez, envia uma resposta JSON com informações pessoais da vítima, incluindo dados como o e-mail ou o número de telemóvel.
Os ataques implicam um trabalho profundo: cada um tem de ser feito manualmente, uma vez que o Instagram utiliza cálculos matemáticos para prevenir hackers de pedirem os formulários de reposição de palavra-passe automaticamente.
Os hackers foram detetados num fórum clandestino enquanto trocavam credenciais e informações pessoais de contas de celebridades.
A Kaspersky Lab aconselha os utilizadores que utilizam versões antigas da aplicação a atualizarem de imediato para a versão mais recente. Outros conselhos úteis para se manterem seguros nas redes sociais incluem utilizar e-mails diferentes para plataformas diferentes, reportar qualquer problema ou irregularidade detetada na rede social e, acima de tudo, se forem recebidos e-mails sobre recuperação de palavras-passe que não foram pedidos, alertar a rede social de imediato.