Muito comuns, as empresas que fornecem o serviço de impulsionamento de seguidores nas redes sociais vira e mexe estão nos noticiários de tecnologia e, na maioria das vezes, com notícias envolvendo falhas de segurança e vazamentos. A bola da vez é a Social Captain, uma startup que faz esse trabalho no Instagram e que teve senhas de usuários que se cadastraram na plataforma vazadas nesta semana.
De acordo com apuração do TechCrunch, a Social Captain estava armazenando as senhas de contas vinculadas do Instagram em texto sem criptografia. Qualquer usuário que visualizasse o código-fonte da página da web por meio do seu perfil na plataforma poderia ver estes detalhes, bastando estar logado.
Para piorar as coisas, um bug no site permitia que qualquer pessoa acessasse o perfil de todos os usuários do Social Captain sem precisar fazer login. Para isso, bastava conectar o ID da conta exclusiva do usuário ao endereço da empresa para garantir o acesso à conta do Social Captain e às credenciais de login do Instagram. Isso acontecia, também, porque essas identificações possuem números sequenciais, o que aumentou, claro, a vulnerabilidade.
–
Siga no Instagram: acompanhe nossos bastidores, converse com nossa equipe, tire suas dúvidas e saiba em primeira mão as novidades que estão por vir no Canaltech.
–
Um pesquisador de segurança, que pediu para não ser identificado, alertou o TechCrunch sobre a vulnerabilidade e forneceu uma planilha com cerca de 10 mil contas que vazaram. Este arquivo continha cerca de 4.700 conjuntos completos de nomes de usuário e senhas do Instagram, com o restante dos registros contendo apenas o nome e o email. Além disso, era possível saber se os perfis eram de teste (gratuito) ou premium (pago). Nas contas pagas, que somaram 70, era possível ver, inclusive, os endereços de cobrança.
Problema ainda persiste
De acordo com o pessoal do TechCrunch, mesmo após a empresa ter dito que o problema havia sido sanado, era possível acessar senhas e outras informações das contas por meio do código-fonte da web. O acesso direto a esses perfis, porém, não era mais possível.
“As primeiras análises indicam que o problema apareceu nas últimas semanas porque o terminal destinado a facilitar a integração com um serviço de email de terceiros ficou temporariamente acessível sem autenticação baseada em token. Assim que finalizarmos a investigação interna, alertaremos os usuários que podem ter sido afetados no caso de uma violação e solicitaremos que eles atualizem as combinações de nome de usuário e senha associadas”, disse Anthony Rogers, diretor-executivo da Social Captain, sem mencionar quanto tempo essa investigação demorará.
O Instagram, por sua vez, disse que o serviço violou seus termos de serviço ao armazenar incorretamente credenciais de login. “Estamos investigando e tomaremos as medidas apropriadas. Nós encorajamos as pessoas a nunca fornecerem suas senhas a alguém que não conhecem ou confiam”, disse um porta-voz do Instagram, em comunicado.
O recomendado no momento, é que usuários que se inscreveram no Social Captain alterem suas senhas do Instagram imediatamente.
Trending no Canaltech:
- Xiaomi Mi 10 Pro tem suas (generosas) especificações divulgadas. Confira
- PREÇO CAIU! Mi Note 10, Redmi Note 8 Pro e Note 8 a partir de R$ 1.028 em 10x
- Portugal dá visto especial para brasileiros que trabalham com TI; entenda
- Especialistas consideram criptografia do Android mais forte que a do iPhone
- Vacina contra o coronavírus só deve chegar daqui um ano e meio, diz Novartis
Fonte: Canaltech
