Instagram vaza senha de alguns usuários após falha em recurso “Baixe seus dados”
Facebook sugere que alguns usuários mudem senha do Instagram; recurso "Baixe seus dados" expôs senha na URL do navegador
Facebook sugere que alguns usuários mudem senha do Instagram; recurso "Baixe seus dados" expôs senha na URL do navegador
Você recebeu um aviso do Facebook sugerindo mudar a senha do Instagram? A rede social notificou alguns usuários porque sofreu uma falha de segurança. A ferramenta “Baixe seus dados”, para fazer download das fotos e vídeos em seu perfil, estava expondo a senha ao colocá-la na URL do navegador.
O Instagram diz ao The Information que a falha foi “descoberta internamente e afetou um número muito pequeno de pessoas”. Ela foi corrigida para que as senhas não sejam expostas. Os usuários afetados receberam um aviso dizendo que, por precaução, deveriam trocar suas senhas.
O bug estava presente na ferramenta “Baixe seus dados”. Ela reúne todos os dados do seu perfil — fotos, vídeos, stories arquivadas, comentários, curtidas — para download em um único arquivo. Isso foi lançado para obedecer ao GDPR, lei de privacidade da União Europeia que exige a portabilidade de dados.
Quando alguns usuários solicitavam o download na página “Baixe seus dados”, a senha era enviada como texto puro através da URL. Esse dado também ficava armazenado nos servidores do Facebook, provavelmente porque a rede social guarda seu histórico de visitação. O Instagram diz que, normalmente, protege as senhas com algoritmos hash e salt.
Um porta-voz da empresa explica ao The Verge: “se alguém enviasse informações de login para usar a ferramenta ‘Baixe seus dados’ do Instagram, eles poderiam ver suas informações de senha na URL da página. Esta informação não foi exposta a ninguém, e nós fizemos mudanças, então isso não acontece mais”.
O Instagram reforçou a segurança este ano após diversas contas serem sequestradas, mesmo ativando a autenticação por dois fatores via SMS. Agora é possível usar apps de terceiros, como Authy ou Google Authenticator, para login em duas etapas. Os perfis eram invadidos e ligados a e-mails russos para promover sites adultos.
O Facebook também teve problemas de segurança. A rede social foi hackeada no final de setembro, e os invasores levaram dados pessoais de 29 milhões de pessoas. Eles conseguiram tokens de acesso através de uma vulnerabilidade no recurso “Ver como”, que permitia ver como seu perfil aparece para os outros.
Com informações: Engadget.