A Meta, dona do Instagram e Facebook, corrigiu duas vulnerabilidades que afetavam a criação de anúncios na rede social de fotos em março deste ano. Segundo o desenvolvedor Renato Amaral, em entrevista exclusiva ao TecMundo, cibercriminosos tinham a capacidade de criar anúncios se passando por qualquer conta profissional já existente dentro do Instagram e Facebook.
As vulnerabilidades não afetavam apenas o Brasil, mas também as contas em todo o mundo.
Renato Amaral, que hoje é TOP 2 no ranking de bug bounty da Meta (programas de recompensas por falhas), explica que as falhas já foram validadas pela equipe de segurança da companhia de Mark Zuckerberg e recebeu dois pagamentos pela descoberta, com valor total de US$ 99 mil.
Os detalhes técnicos que envolvem as brechas não foram revelados. Segundo Amaral, a própria Meta não autorizou que as miudezas fossem descritas.
“Basicamente a falha dava permissão de anunciante nas contas do Instagram, aí com essa permissão eu conseguia criar um anúncio e publicar uma foto no perfil das contas profissionais”, explica o desenvolvedor. “A foto, como é foto de anúncio, não aparece no feed da pessoa, mas ela era publicada dentro da conta da pessoa”.
O que eram as falhas do Instagram e Facebook?
O desenvolvedor afirma que as brechas envolviam uma falha de lógica, e não seria um CVE (Vulnerabilidades e Exposições Comuns) ou erro de programação.
“Havia a possibilidade de criar um anúncio no perfil da Magazine Luiza, por exemplo, vendendo algum produto. Dentro do Instagram, se tornaria um produto vendido pela própria Magalu, mas o link seria falso, com rota alterada”, explica Amaral.
Como o golpe do Instagram acontece?
Mesmo sem detalhes técnicos revelados, o golpe se desenrolava da seguinte maneira:
- Vítimas (usuários do Instagram e Facebook) recebem anúncios de empresas X no próprio feed
- O anúncio é legítimo, mas o link é fraudulento e leva para uma página falsa
- O anúncio não aparece no perfil do ecommerce, aparece apenas no feed de vítimas
Para o cibercriminoso, o caminho seria este:
- Cibercriminoso obtém acesso de anunciante no perfil de loja (exemplo, Magalu)
- Cibercriminoso cria um anúncio no perfil deles com uma imagem de um produto falso e com link para site falso
- Vítimas recebem o anúncio no feed/stories como um anúncio oficial “da Magalu”
- A propaganda falsa não aparece para a loja (exemplo, Magalu) e eles não sabem que ela foi feita em nome deles
- Cibercriminoso recolhe o que configura no link falso, seja roubo de dados pessoais ou dados financeiros
Um ataque sem proteção
As vulnerabilidade descobertas por Renato Amaral eram praticamente golpes perfeitos: não havia como a vítima se proteger previamente.
“A falha afetava todas as contas que estão como profissionais no Instagram, praticamente todas as contas grandes de empresas e influencers são profissionais. Não tinha o que a pessoa fazer. Mesmo que ela acessasse a publicação pelo link na conta dela, ela não conseguia excluir porque dava erro, era uma publicação atrelada a anúncio sem possibilidade de exclusão”, explica.
O desenvolvedor ainda revela que o cibercriminoso tinha a capacidade de excluir comentários de vítimas e checar o engajamento na publicação falsa, mas que esse ponto não foi muito relevante para Meta, que focou apenas na correção de ambas as falhas citadas anteriormente.
Para acompanhar as principais notícias de cibersegurança e se manter seguro, siga nosso caderno dedicado.
