A Meta, empresa responsável pelo Instagram e Facebook, realizou a correção de duas vulnerabilidades que impactavam a funcionalidade de criação de anúncios na plataforma de imagens em março deste ano.
De acordo com o desenvolvedor Renato Amaral, em uma entrevista exclusiva para o portal TecMundo, os cibercriminosos podiam criar anúncios se passando por qualquer conta profissional existente tanto no Instagram quanto no Facebook.
Essas vulnerabilidades não eram restritas ao Brasil, afetando contas globalmente.
Renato Amaral, atualmente o segundo no ranking de bug bounty da Meta, revelou que as falhas foram validadas pelo time de segurança da empresa de Mark Zuckerberg, o qual lhe compensou com dois pagamentos totalizando US$ 99 mil.
Uma curiosidade: o grupo hacker Plump Spider, conhecido por seus ataques sofisticados direcionados a brasileiros, também foi mencionado.
Os detalhes técnicos das vulnerabilidades não foram divulgados, pois a Meta não autorizou que as especificidades fossem detalhadas.
"Basicamente, a falha permitia permissonamento de anunciante em contas do Instagram, permitindo, com essa permissão, criar um anúncio e publicar uma foto no perfil das contas profissionais," explicou o desenvolvedor.
Ainda segundo ele, a foto, sendo de anúncio, não ficava visível no feed da pessoa afetada, mas era publicada dentro da sua conta.
Quanto às falhas em si, Amaral esclarece que envolviam uma falha de lógica, não sendo um CVE (Common Vulnerabilities and Exposures) ou um erro de programação.
"Existia a possibilidade de criar um anúncio no perfil de empresas reconhecidas, com produtos fraudulentos. No Instagram, o produto é apresentado como vendido pela própria empresa, mas o link redirecionava para um site falso," detalhou Amaral.
O esquema operava da seguinte maneira: os usuários do Instagram e Facebook eram expostos a anúncios aparentemente legítimos, mas os links embutidos redirecionavam para páginas fraudulentas.
Estes anúncios não apareciam no perfil das empresas, mas apenas no feed das vítimas.
Do ponto de vista do cibercriminoso, ele obtinha acesso de anunciante no perfil de uma loja, criava um anúncio com uma imagem de produto falso e um link para um site igualmente falso.
As vítimas recebiam o anúncio no feed/stories como se fosse oficial da loja em questão.
A empresa alvo do golpe não tinha conhecimento dessas ações, e o cibercriminoso podia coletar dados pessoais ou financeiros através do link falso.
Essas vulnerabilidades representavam ataques quase indefensáveis, pois afetavam qualquer conta configurada como profissional no Instagram, incluindo grandes corporações e influencers.
Não existia uma maneira efetiva de as vítimas se protegerem previamente.
Além desses riscos, surgiu outro golpe associado ao WhatsApp, que, disfarçado em smartphones Android falsificados, tinha o objetivo de roubar dinheiro das vítimas.
Apesar da capacidade do cibercriminoso de excluir comentários indesejados nas publicações fraudulentas e monitorar o engajamento, esse ponto não foi considerado tão relevante pela Meta, que focou na correção das duas vulnerabilidades mencionadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...