Imagina que a tua conta privada na rede social mais popular do mundo não era, afinal, assim tão privada. Durante um período indeterminado, uma vulnerabilidade crítica na infraestrutura do servidor permitiu que atacantes acedessem a fotografias e legendas de contas protegidas, sem precisarem de fazer login ou de seguir a vítima. A falha, descoberta pelo investigador de segurança Jatin Banga, foi corrigida silenciosamente pela gigante tecnológica em outubro de 2025, mas os detalhes só agora foram trazidos a público, levantando sérias questões sobre a transparência da empresa.
O problema residia numa configuração específica dos cabeçalhos HTTP que permitia contornar os controlos de privacidade da interface web móvel. Ao contrário do que seria de esperar numa plataforma desta dimensão, a proteção dos dados privados falhou não devido a um erro complexo de encriptação, mas sim a uma lógica de autorização defeituosa nos servidores da empresa.
O truque do "Polaris" e o acesso direto aos dados
A vulnerabilidade, apelidada de mecanismo "Polaris", não se tratava de um simples erro de cache, como foi inicialmente sugerido. Banga descobriu que, ao enviar um pedido GET não autenticado para um perfil privado, manipulando especificamente os cabeçalhos para simular um dispositivo móvel, o servidor do Instagram devolvia uma resposta inesperada. Em vez de bloquear o acesso, o sistema entregava um objeto JSON contendo ligações diretas para a rede de distribuição de conteúdos (CDN).
Isto significava que, para as contas afetadas, era possível extrair os URLs das imagens em alta resolução e ler as respetivas legendas, contornando totalmente a barreira de "Conta Privada". Curiosamente, o erro era condicional: nos testes realizados, cerca de 28% das contas verificadas mostraram-se vulneráveis, sugerindo que o problema poderia estar ligado a um estado específico do backend ou a uma gestão de sessões corrompida em determinados servidores.
Uma correção silenciosa e polémica
O processo de divulgação e correção desta falha revela uma interação tensa entre o investigador e o programa de recompensas por bugs da dona do Facebook. O relatório inicial foi submetido a 12 de outubro de 2025, mas foi inicialmente rejeitado pela empresa, que alegou tratar-se apenas de um problema de cache da CDN. No entanto, após fornecer provas inegáveis com uma conta de teste, a falha deixou subitamente de funcionar apenas dois dias depois, a 16 de outubro, indicando que uma correção no servidor tinha sido implementada.
Apesar de ter resolvido o problema na prática, a Meta encerrou o relatório oficial no final desse mês classificando-o como "Não Aplicável", alegando que não conseguiram reproduzir o erro. Quando confrontada com a contradição de ter pedido exemplos de contas vulneráveis e, logo a seguir, a falha ter desaparecido, a equipa de segurança justificou a correção como um "efeito secundário não intencional" de outras mudanças na infraestrutura. Esta postura gerou críticas na comunidade de segurança, pois a falta de uma análise de causa raiz deixa no ar a dúvida se a falha foi realmente resolvida ou apenas ocultada por uma mudança de configuração, conforme detalhado na análise técnica completa publicada por Jatin Banga.
Nenhum comentário
Seja o primeiro!