O Instagram tem se tornado uma rede social cada vez mais popular entre a maioria dos usuários, fazendo com que o site tenha uma visibilidade maior por parte dos invasores. Isso fez com que os desenvolvedores responsáveis precisassem corrigir uma vulnerabilidade que deixava brechas para o sequestro de contas ser realizado remotamente.

A descoberta foi divulgada pela ESET, empresa líder em detecção proativa de ameaças, onde foi perceptível que havia uma brecha aonde os hackers poderiam ter acesso a qualquer conta sem necessitar de uma autorização prévia do dono, como normalmente acontece quando alguém tenta logar de algum equipamento novo.

De acordo com a empresa, essa falha estava relacionada ao campo de recuperação de senha do aplicativo, onde há a necessidade de digitar um código recebido via SMS para conseguir redefinir a palavra-chave. Esses seis números, normalmente, possuem uma validade de 10 minutos entre o tempo de recebimento e a digitação, porém esse período de expiração estava sendo uma porta de acesso aos invasores.

Para tentar tomar posse de contas alheias, era preciso digitar diversas combinações de 6 dígitos para forçar um ataque, mas utilizando endereços IP diferentes para dificultar o rastreamento, ou usando uma série de falhas no processo de programação do sistema, conhecido como condição de corrida (do inglês, race condition).

"Esses casos servem como um exemplo para demonstrar que até mesmo grandes plataformas e serviços são vulneráveis a possíveis ataques e / ou falhas de segurança. Por isso é importante que não deixemos a segurança nas mãos daqueles que fornecem os serviços que nós usamos. É importante que, nós como usuários, façamos a nossa parte para reforçar a segurança, seja por meio do uso do duplo fator de autenticação, usando senhas exclusivas por serviço e também realizando outras ações que reforcem a internet segura", diz Camilo Gutierrez, Chefe do Laboratório de Pesquisa da ESET América Latina.

O pesquisador da ESET conseguiu realizar o sequestro de contas, mas o processo foi um pouco mais longo do que o imaginado, já que foi preciso enviar mais de 200 mil combinações até alcançar o número desejado. Porém, isso mostra o quanto é preciso manter os aplicativos sempre atualizado e fechar qualquer barreira que possa ser usada por hackers para invadir perfis e roubar dados.