Instagram

Um pesquisador de segurança, Jatin Banga, revelou que perfis privados do Instagram estavam vazando links para fotos privadas em respostas HTML acessíveis a usuários não autenticados. O recurso de conta privada do Instagram deveria restringir o acesso a fotos, vídeos e histórias apenas a seguidores aprovados. No entanto, Banga encontrou que, em certos dispositivos móveis, o código-fonte HTML de perfis privados continha links e legendas de fotos que deveriam ser restritas. Ele relatou a vulnerabilidade à Meta, empresa-mãe do Instagram, em 12 de outubro de 2025. Embora a Meta tenha corrigido o problema rapidamente, o pesquisador contestou a classificação da falha como um problema de cache de CDN, afirmando que se tratava de uma falha de autorização no servidor. Apesar de suas tentativas de esclarecer a situação, a Meta encerrou o caso como ’não aplicável’, sem uma análise de causa raiz. Banga expressou preocupações sobre a falta de transparência e a possibilidade de que a falha tenha sido explorada antes de ser corrigida. O incidente destaca a importância da segurança em plataformas amplamente utilizadas e a necessidade de uma resposta adequada a vulnerabilidades reportadas.

Uma falha crítica de segurança no Instagram, descoberta pelo pesquisador Jatin Banga, permite que publicações privadas sejam acessadas por qualquer pessoa, incluindo usuários mal-intencionados. O problema reside na infraestrutura do servidor da Meta, que falha na lógica de autorização, permitindo que requisições GET não autenticadas retornem dados JSON com links diretos para fotos e legendas privadas. Embora a vulnerabilidade não tenha afetado todas as contas, cerca de 28% das contas testadas estavam comprometidas. A Meta foi notificada sobre a falha e resolveu o problema de forma silenciosa, sem admitir publicamente a vulnerabilidade. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a eficácia das medidas de privacidade implementadas pela plataforma.

O Instagram se manifestou negando um suposto vazamento de dados pessoais de 17,5 milhões de usuários na dark web, após a empresa de antivírus Malwarebytes divulgar um e-mail que indicava a possibilidade de uma violação. O e-mail, que solicitava redefinição de senhas, levantou preocupações sobre a segurança dos dados, incluindo logins, endereços físicos e números de telefone. O Instagram afirmou que não houve violação, mas reconheceu um ‘problema’ em seu sistema que permitia que terceiros enviassem e-mails de redefinição de senha para alguns usuários. A Malwarebytes, por sua vez, sugere que a vulnerabilidade pode estar relacionada a uma falha na API do Instagram, identificada em 2024. Embora não haja confirmação de que os dados tenham sido vendidos na dark web, a recomendação é que os usuários alterem suas senhas e ativem a autenticação de dois fatores para aumentar a segurança. O caso destaca a importância da vigilância contínua em relação à segurança de dados pessoais nas plataformas digitais.