▲
- Hackers conseguiram explorar falhas no Instagram para criar anúncios falsos em contas profissionais.
- Se você usa Instagram, é crucial estar atento a anúncios suspeitos que prometem produtos falsos.
- Essa vulnerabilidade afeta a credibilidade de marcas e pode levar usuários a cair em golpes.
- A correção das falhas pela Meta destaca a importância da segurança nas redes sociais.
A Meta, empresa que controla o Instagram e o Facebook, corrigiu em março deste ano duas falhas que permitiam a criação de anúncios fraudulentos na rede social de fotos. Segundo o desenvolvedor Renato Amaral, cibercriminosos conseguiam criar anúncios se passando por qualquer conta profissional no Instagram e Facebook. As vulnerabilidades não afetavam apenas o Brasil, mas contas em todo o mundo.
Renato Amaral, um dos principais no ranking de bug bounty da Meta, teve as falhas validadas pela equipe de segurança de Mark Zuckerberg, recebendo US$ 99 mil pela descoberta. Os detalhes técnicos não foram divulgados por restrição da Meta.
“Basicamente, a falha dava permissão de anunciante nas contas do Instagram, permitindo criar um anúncio e publicar uma foto no perfil das contas profissionais”, explica Amaral. “A foto, sendo de anúncio, não aparece no feed, mas era publicada dentro da conta.”
Falhas no Instagram e Facebook: Como Funcionavam?
O desenvolvedor explicou que as brechas eram falhas de lógica, não erros de programação ou CVEs (Vulnerabilidades e Exposições Comuns). “Havia a possibilidade de criar um anúncio no perfil da Magazine Luiza, por exemplo, vendendo algum produto. No Instagram, pareceria um produto vendido pela própria Magalu, mas o link seria falso”, detalha Amaral.
Como Ocorria o Golpe?
Mesmo sem detalhes técnicos, o golpe seguia este esquema:
- Usuários do Instagram e Facebook recebiam anúncios de empresas em seus feeds.
- O anúncio era legítimo, mas o link levava a uma página falsa.
- O anúncio não aparecia no perfil da empresa, apenas no feed das vítimas.
Para o cibercriminoso:
- Obtinha acesso de anunciante no perfil de uma loja (ex: Magalu).
- Criava um anúncio com imagem de produto falso e link para site falso.
- Vítimas recebiam o anúncio como oficial “da Magalu”.
- A propaganda falsa não aparecia para a loja, que não sabia da ação.
- O cibercriminoso coletava dados pessoais ou financeiros através do link falso.
Um Ataque Sem Defesa
As vulnerabilidades descobertas por Renato Amaral eram difíceis de evitar.
“A falha afetava todas as contas profissionais no Instagram, praticamente todas as grandes empresas e influenciadores. Não havia o que fazer. Mesmo acessando a publicação pelo link, a vítima não conseguia excluir, pois dava erro”, explica.
O criminoso podia excluir comentários de vítimas e verificar o engajamento na publicação falsa, algo que não foi tão relevante para a Meta, que focou na correção das falhas. Para acompanhar mais notícias de cibersegurança, siga nosso caderno dedicado. Inclusive, sabia que o Google Chrome mantém o uso de cookies de terceiros, impactando a privacidade?
As descobertas de Amaral revelaram uma faceta perigosa das plataformas de mídia social, onde a linha entre o legítimo e o fraudulento pode ser facilmente cruzada. A capacidade de criar anúncios falsos no Instagram explorava uma vulnerabilidade que permitia aos criminosos se passarem por empresas respeitáveis, enganando usuários desavisados e comprometendo a confiança na plataforma.
A correção dessas falhas pela Meta destaca a importância de programas de bug bounty e a colaboração entre desenvolvedores e empresas de tecnologia para identificar e resolver problemas de segurança. Além disso, serve como um lembrete constante de que a segurança digital é um campo em evolução, exigindo vigilância contínua e adaptação para proteger os usuários contra novas ameaças.
As falhas de segurança exploradas no Instagram e Facebook permitiam que criminosos criassem campanhas de anúncios fraudulentas, com o objetivo de enganar usuários e roubar informações. Para empresas que buscam proteger sua marca e evitar que seus clientes caiam em golpes, é essencial estar atenta às práticas de segurança e monitorar de perto a atividade em suas contas de mídia social.
Além disso, é recomendável educar os clientes sobre como identificar anúncios falsos e relatar atividades suspeitas. A colaboração entre empresas, plataformas de mídia social e especialistas em segurança é fundamental para combater o cibercrime e proteger os usuários de golpes online.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
Via TecMundo
