Falha na Meta expôs mais de 20 mil contas do Instagram

A Meta informou as autoridades norte-americanas de que cerca de 20.225 contas do Instagram podem ter sido comprometidas na sequência da exploração de uma vulnerabilidade numa ferramenta de suporte destinada à recuperação de contas.

O incidente envolveu a plataforma High Touch Support (HTS), utilizada para ajudar utilizadores a recuperar o acesso às suas contas. Segundo a empresa, os atacantes exploraram uma falha que permitia associar um endereço de email não autorizado a uma conta legítima, recebendo posteriormente uma ligação para redefinição da palavra-passe. Através deste método, os cibercriminosos conseguiam alterar as credenciais de acesso e assumir o controlo das contas que não tinham a autenticação multifator (2FA) ativada.

Entre as contas alegadamente comprometidas encontravam-se perfis de elevado destaque, incluindo o da administração Obama White House, da marca Sephora e do Chief Master Sergeant da Força Espacial dos Estados Unidos, John Bentivegna. Algumas destas contas terão sido posteriormente colocadas à venda em fóruns clandestinos.

De acordo com a Meta, a exploração da vulnerabilidade foi detetada a 31 de maio. A empresa esclareceu que a ferramenta HTS funcionava conforme previsto, mas uma falha num processo paralelo impedia a verificação adequada de que o endereço de email fornecido correspondia efetivamente ao registado na conta alvo.

Como resultado, o sistema enviava incorretamente ligações de redefinição de palavra-passe para endereços de email não associados às contas, permitindo que terceiros não autorizados obtivessem acesso.

A Meta admite que ainda não é possível determinar com certeza se os dados armazenados nas contas comprometidas foram acedidos. No entanto, os atacantes podem ter tido acesso a informações de perfil, endereços de email, números de telefone, datas de nascimento, mensagens privadas, publicações, bem como ao histórico de atividade e interações dos utilizadores.

A empresa desativou temporariamente a ferramenta vulnerável e afirma que apenas voltará a disponibilizá-la após confirmar que o problema foi totalmente corrigido. Além disso, todas as ligações de redefinição de palavra-passe geradas através da exploração da falha foram invalidadas. As contas potencialmente afetadas foram sujeitas a verificações de segurança obrigatórias e tiveram as respetivas palavras-passe redefinidas.

A Meta anunciou ainda que irá notificar os utilizadores potencialmente afetados, recomendando a revisão das configurações de segurança e a ativação da autenticação multifator, considerada uma das principais medidas de proteção contra este tipo de ataques.