A falha de segurança que comprometeu algumas contas de pessoas famosas no Instagram pode não ter sido tão inofensiva quanto a empresa afirmou. O Ars Technica diz ter recebido o contato de um leitor que gerencia um site no qual dados de 6 milhões de usuários usuários da rede social coletados por causa dessa falha são vendidos a US$ 10 (R$ 31, aproximadamente) cada.
Como prova da autenticidade de sua afirmação, o leitor teria oferecido ao site uma amostra com informações de 10 mil contas. Tanto a análise do próprio site quanto uma análise independente feita pelo pesquisador de segurança Troy Hunt (que gerencia o site “Have I Been Pwned?“) sugerem que os dados são legítimos.
“Minha conclusão: não há nada aqui para descreditar esses dados. É *possível* que eles tenham sido juntados de outras fontes [além da falha já citada], mas tudo indica que eles são legítimos, e o vetor mencionado anteriormente é completamente plausível e com certeza tem precedentes”, escreveu Hunt ao site. Os dados foram enviados também ao Instagram para confirmação, mas a rede social ainda não respondeu.
Seus dados a R$ 30
De acordo com o site, das 10 mil contas recebidas como amostra, 9.911 incluíam pelo menos um número de telefone ou e-mail. Mais especificamente, 5.341 incluíam um número de telefone, e 4.341 incluíam tanto o telefone quanto o endereço de e-mail. Uma busca pelos nomes das contas mostrou que tratavam-se de usuários reais, e os nomes batiam com os telefones associados a eles. Usuários da Austrália, Tailândia e Alemanha estavam na lista.
Naturalmente, o site preferiu não detalhar qual era o site que estava vendendo as contas. No entanto, eles afirmam que ele estava livremente acessível até a manhã de hoje. O gerenciador do site diz ter descoberto a vulnerabilidade da rede social em um canal de IRC. Ele afirmou ter certeza de que outras pessoas também se aproveitaram do problema para roubar dados, mas não na mesma escala que ele.
Informações publicadas pela Kaspersky sobre a falha do Instagram alegavam que ela não podia ser explorada de maneira automatizada. No entanto, o leitor diz ter feito exatamente isso para coletar mais de 500 mil informações de contas por hora. Cerca de 12 horas depois de seu ataque começar, o Instagram consertou o problema.
Se os dados das 6 milhões de contas obtidos tiverem o mesmo nível de credibilidade e informação que a amostra, é possível que outros usuários tenham tido seus dados vazados também. Até que a empresa se pronuncie, os usuários da rede devem considerar a possibilidade de que seus endereços de e-mail e números de telefone estejam disponíveis na rede.