13 de setembro de 2019

Uma possível falha de segurança no Instagram permite que todos os posts privados, tanto no feed quanto nos Stories, sejam ados e compartilhados com pessoas fora da rede social. A partir de conhecimentos básicos em HTML, qualquer pessoa consegue inspecionar o código fonte da página do Instagram web no navegador e encontrar a URL de fotos e vídeos. A informação foi reportada pelo site BuzzFeed News nesta semana.

Procurado pelo TechTudo, o Instagram declarou que não se trata de exatamente uma brecha de segurança, mas da URL gerada por um conteúdo publicado na Internet, assim como qualquer outro. Além disso, para que algum estranho tenha o aos posts, é preciso que alguém da confiança do usuário compartilhe o link.

Além de viabilizar a detecção da URL de qualquer arquivo JPEG e MP4, a ferramenta “inspecionar elementos”, disponível em navegadores como Chrome e Firefox, permite descobrir quem interagiu com o conteúdo publicado. Segundo o BuzzFeed, o “macete” possibilita, inclusive, o resgate de imagens que já foram deletadas da rede social. Os links dos stories permaneceriam disponíveis nos servidores do Facebook mesmo após a expiração em 24 horas, e as URLs de publicações do feed, por sua vez, ficariam ativas por ainda mais tempo.

Para encontrar os links das publicações, é preciso seguir a conta trancada. Se um seguidor consegue o a URLs, ele pode compartilhá-las facilmente com usuários que não são amigos do autor do post e que sequer fazem parte do Instagram. Como a rede social não é capaz de rastrear quem vê posts e stories fora do aplicativo, a pessoa que tiver suas imagens vazadas não terá ideia de quem o fez ou de quantas pessoas visualizaram o conteúdo.

Em resposta ao TechTudo, um representante do Facebook disse que o processo é semelhante a tirar prints de fotos em contas privadas. “O comportamento descrito é o mesmo que tirar uma captura de tela da foto de um amigo no Facebook ou Instagram e compartilhá-la com outras pessoas. Não dá às pessoas o à conta privada de um usuário”. Além disso, a empresa ressalta que, ao clicar no link, a pessoa tem o apenas àquela publicação, visto que o perfil do usuário continua privado e suas fotos não podem ser vistas por terceiros.

Segundo o site BuzzFeed, no entanto, o método difere das capturas de tela. Isso porque as URLs contêm algumas informações sobre a foto ou o vídeo em questão, incluindo detalhes sobre o e as dimensões da foto. Além disso, os materiais podem ser ados mesmo após terem sido removidos do perfil.

Como se proteger?

Como não se trata de uma exatamente vulnerabilidade, o Instagram não deve liberar uma atualização de segurança para corrigir o problema. Por isso, a melhor dica para evitar situações desagradáveis é redobrar a atenção com relação ao conteúdo postado. Evite publicar fotos e Stories que revelem detalhes sobre a sua intimidade ou exponham informações sensíveis. Vale também “fazer uma limpa” na lista de seguidores e se certificar de que o perfil é acompanhado apenas por pessoas confiáveis.