sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Nvidia faz PC em forma de Maracanã e RTX do Brasil para Lucas Paquetá
4 de julho de 2026
Acompanhe aqui o concerto da Capela Sistina na Catedral
4 de julho de 2026
Volkswagen T-Cross fica até R$ 10.000 mais barato e se afasta do Taos
4 de julho de 2026
Programação de férias do CCBB em São Paulo começa neste sábado
3 de julho de 2026
sábado, julho 4, 2026
Top Posts
Nvidia faz PC em forma de Maracanã e...
Acompanhe aqui o concerto da Capela Sistina na...
Volkswagen T-Cross fica até R$ 10.000 mais barato...
Programação de férias do CCBB em São Paulo...
8 filmes e séries de peso para ver...
SUVs de entrada mudam mercado e podem acabar...
Vírus bancário ativo no Brasil foi adaptado para...
Ministro da Saúde anuncia investimentos no CNPEM e...
Assassin’s Creed Shadows e mais jogos para Switch...
Campinas lacra pensão irregular no Centro e aplica...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Nvidia faz PC em forma de Maracanã e RTX do Brasil para Lucas Paquetá
4 de julho de 2026
Acompanhe aqui o concerto da Capela Sistina na Catedral
4 de julho de 2026
Volkswagen T-Cross fica até R$ 10.000 mais barato e se afasta do Taos
4 de julho de 2026
Programação de férias do CCBB em São Paulo começa neste sábado
3 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Nvidia faz PC em forma de Maracanã e RTX do Brasil para Lucas Paquetá
4 de julho de 2026
Acompanhe aqui o concerto da Capela Sistina na Catedral
4 de julho de 2026
Volkswagen T-Cross fica até R$ 10.000 mais barato e se afasta do Taos
4 de julho de 2026
Programação de férias do CCBB em São Paulo começa neste sábado
3 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Falha no Instagram permitia ver fotos e vídeos privados sem autorização

por SampaNews 27 de janeiro de 2026
27 de janeiro de 2026
43

Em outubro de 2025, um pesquisador de segurança chamado Jatin Banga identificou uma vulnerabilidade crítica de autorização nos servidores do Instagram que permitia o acesso completo a conteúdo de contas privadas sem qualquer forma de autenticação.

A descoberta, feita acidentalmente durante o desenvolvimento de uma ferramenta de automação de workflows HTTP, revelou uma falha que potencialmente expôs dados privados de centenas de milhões de usuários.

smart_display

Nossos vídeos em destaque

A vulnerabilidade permitia que requisições completamente não autenticadas obtivessem links diretos de CDN para fotos e vídeos de contas configuradas como privadas, incluindo legendas e metadados completos das publicações. 

O ataque não exigia login, relacionamento de seguidor ou qualquer tipo de credencial, apenas conhecimento técnico básico de requisições HTTP.

Como a vulnerabilidade funcionava

O exploit identificado por Banga baseava-se em uma falha de autorização server-side. Ao enviar uma requisição GET não autenticada para instagram.com/[username] utilizando headers específicos de navegadores mobile, o servidor do Instagram retornava uma resposta HTML contendo um objeto JSON denominado polaris_timeline_connection. 

Dentro desse objeto, o array edges continha URLs diretas de CDN para o conteúdo privado da conta-alvo, incluindo imagens em resolução completa, vídeos e legendas das publicações.

Não se tratava de um problema de cachê ou de configuração de CDN. O backend do Instagram estava ativamente gerando e retornando dados privados para requisições não autorizadas, falhando em validar permissões antes de popular a resposta. O servidor simplesmente não verificava se quem estava pedindo a informação tinha autorização para recebê-la.

Durante análise técnica detalhada, Banga identificou um comportamento específico que chamou de “estado de gatilho”. Quando as requisições com headers mobile eram processadas para determinadas contas privadas vulneráveis, o servidor retornava “0 seguidores / 0 seguindo” independentemente do número real de seguidores da conta. 

Nesse estado corrompido, os dados privados da timeline eram incorretamente disponibilizados na resposta. Era como se o sistema entrasse em um modo de operação anômalo onde as verificações de privacidade eram simplesmente ignoradas.

A extensão do problema

Seguindo protocolos éticos de pesquisa em segurança, Banga limitou rigorosamente todos os testes a contas sob seu controle ou com permissão explícita dos proprietários. Em uma amostra de 7 contas autorizadas para teste, 2 apresentaram a vulnerabilidade, uma taxa de aproximadamente 28%. 

Considerando que o Instagram possui mais de 1 bilhão de usuários ativos, e que a descoberta inicial ocorreu acidentalmente em uma conta não autorizada, a taxa real de exploração pode ser significativamente superior.

A vulnerabilidade não afetava todas as contas privadas uniformemente. Análises preliminares sugeriram correlação com a idade das contas, com perfis mais antigos demonstrando maior suscetibilidade. No entanto, a causa raiz exata permanece indeterminada, dado que a Meta não conduziu investigação técnica aprofundada conforme documentado nas comunicações oficiais.

O processo de divulgação responsável

Entre 12 e 15 de outubro de 2025, Banga passou por um processo de ida e volta com a Meta ao reportar a vulnerabilidade. O primeiro relatório foi rejeitado em 5 minutos por interpretação equivocada, mas o segundo, com linguagem técnica mais precisa, iniciou uma investigação apropriada.

A Meta pediu testes em sua própria conta (2fa_2fa), onde o exploit falhou, revelando que a vulnerabilidade era condicional. Banga então conseguiu permissão de um terceiro usuário (its_prathambanga), demonstrou o exploit com sucesso extraindo 30 URLs privadas, e enviou análise técnica completa explicando o mecanismo de duas etapas da falha.

O patch silencioso e a contradição

Em 16 de outubro de 2025, durante testes de rotina de verificação, Banga identificou que a vulnerabilidade não era mais reproduzível. Todas as contas previamente vulneráveis passaram a retornar respostas vazias. A Meta havia implementado uma correção silenciosa sem qualquer notificação ao pesquisador. 

Exatamente 48 horas após Banga fornecer os nomes específicos das contas vulneráveis, o problema estava corrigido nessas contas exatas.

Banga documentou a mudança em vídeo cronometrado e enviou um follow-up solicitando confirmação oficial da correção. A resposta veio apenas onze dias depois, em 27 de outubro, e foi desconcertante: “Não conseguimos reproduzir esse problema.” O caso foi categorizado como “Não Aplicável”, sem elegibilidade para recompensa de bug bounty.

O pesquisador respondeu no mesmo dia apontando a contradição lógica evidente, já que a Meta havia explicitamente solicitado contas vulneráveis adicionais durante a investigação, recebeu os nomes específicos dessas contas, e essas contas exatas foram corrigidas em 48 horas.

A resposta final da equipe de segurança da Meta, em 29 de outubro, foi ainda mais enigmática: “O fato de um problema irreproduzível ter sido corrigido não muda o fato de que não era reprodutível na época. 

Mesmo que o problema fosse reprodutível, é possível que uma mudança tenha sido feita para corrigir um problema diferente e esse problema foi corrigido como um efeito colateral não intencional.” O caso foi mantido como “Não Aplicável”, efetivamente negando que a vulnerabilidade tivesse existido.

O que ficou sem investigação

A análise da comunicação oficial entre Banga e a Meta revela lacunas significativas no processo de investigação que levantam questões sobre a profundidade da análise conduzida pela empresa. 

Banga ofereceu proativamente compartilhar logs completos de rede incluindo headers X-FB-Debug, que permitiriam rastreamento interno completo das requisições problemáticas nos sistemas da Meta. 

Esses headers contêm identificadores únicos de servidores e processos internos que facilitariam enormemente a identificação da causa raiz. A oferta foi ignorada.

O pesquisador também forneceu uma lista detalhada discriminando quais contas eram exploráveis e quais não eram, um conjunto de dados pronto para análise diferencial que poderia esclarecer as condições específicas que tornavam determinadas contas vulneráveis. 

Este tipo de dataset comparativo é extremamente valioso para diagnóstico de bugs condicionais, permitindo que engenheiros identifiquem padrões e características comuns entre as contas afetadas. Nenhuma análise foi solicitada ou conduzida com base nessa informação.

Sem identificação da causa raiz, não há confirmação técnica de que o problema subjacente foi completamente resolvido ou apenas remediado superficialmente. Existe diferença fundamental entre corrigir sintomas e corrigir causas: um patch que apenas esconde o problema pode permitir que ele reapareça em outras condições ou contextos não testados.

Documentação e preservação de evidências

Banga implementou um protocolo rigoroso de documentação com verificação de integridade temporal. Ele preservou o script de prova de conceito em Python que demonstrava a extração automatizada de URLs de CDN privadas, capturou screenshots comparativos da mesma requisição antes e depois da implementação da correção, e gravou quatro vídeos timestampados com hashes SHA256 pré-calculados para verificação de integridade.

Toda a comunicação oficial com o programa de bug bounty da Meta foi arquivada em formato PDF, e logs técnicos completos foram preservados, incluindo headers de rede, amostras de respostas de contas vulneráveis versus não-vulneráveis, e as URLs de CDN que foram expostas. 

Todas essas evidências foram coletadas em um repositório Git público durante o processo de investigação e reporte, entre 12 e 17 de outubro de 2025, estabelecendo timestamps criptograficamente verificáveis através do histórico de commits. Esta metodologia impede a fabricação ou modificação retroativa das evidências.

A preservação meticulosa de evidências é particularmente relevante neste caso, dado que a Meta posteriormente negou que o problema fosse reproduzível. Os hashes SHA256 dos vídeos, os commits do Git com timestamps imutáveis, e a documentação detalhada de cada etapa do processo fornecem um registro verificável e independente de que a vulnerabilidade existiu e foi demonstrada de forma reproduzível.

Escalação e divulgação pública

Seguindo práticas padrão de divulgação coordenada de vulnerabilidades, que estabelecem uma janela de 90 dias para que organizações respondam antes de divulgação pública, Banga estendeu o período para 102 dias, dando à Meta tempo adicional além do protocolo padrão.

Em 4 de novembro de 2025, Banga enviou um apelo formal solicitando reabertura do caso e condução de análise de causa raiz apropriada. Ele enfatizou que a questão não era financeira — não se tratava da recompensa de bug bounty — mas de garantir que a correção implementada era completa e que o problema havia sido adequadamente diagnosticado. 

Ofereceu novamente compartilhar dados técnicos comparativos detalhados e notificou que, caso o caso fosse encerrado novamente sem investigação adequada da causa raiz, procederia com divulgação pública responsável após o período padrão da indústria.

A Meta não respondeu a este último apelo. Após 102 dias sem resposta ou reconhecimento, em 22 de janeiro de 2026, Banga enviou uma notificação formal de divulgação pública, confirmando que o período de coordenação havia transcorrido, listando os materiais a serem incluídos na divulgação, e oferecendo uma janela adicional de 48 horas para resposta da Meta antes da publicação. 

Dois dias depois, em 24 de janeiro de 2026, ele tornou pública toda a documentação da vulnerabilidade, do processo de reporte e das comunicações com a Meta.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.



autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Steam libera jogo grátis por tempo limitado, mas recebe onda de reclamações: ‘Lixo’
próxima postagem
Galaxy S26 não terá opção “básica” com 128 GB de memória, diz site

Você também pode gostar

Nvidia faz PC em forma de Maracanã e...

4 de julho de 2026

8 filmes e séries de peso para ver...

3 de julho de 2026

Vírus bancário ativo no Brasil foi adaptado para...

3 de julho de 2026

Assassin’s Creed Shadows e mais jogos para Switch...

3 de julho de 2026

POSTS MAIS RECENTES

  • Nvidia faz PC em forma de Maracanã e RTX do Brasil para Lucas Paquetá
  • Acompanhe aqui o concerto da Capela Sistina na Catedral
  • Volkswagen T-Cross fica até R$ 10.000 mais barato e se afasta do Taos
  • Programação de férias do CCBB em São Paulo começa neste sábado
  • 8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações

Siga-nos

  • Recente
  • Popular
  • Nvidia faz PC em forma de Maracanã e RTX do Brasil para Lucas Paquetá

    4 de julho de 2026
  • Acompanhe aqui o concerto da Capela Sistina na Catedral

    4 de julho de 2026
  • Volkswagen T-Cross fica até R$ 10.000 mais barato e se afasta do Taos

    4 de julho de 2026
  • Programação de férias do CCBB em São Paulo começa neste sábado

    3 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

SUVs de entrada mudam mercado e podem acabar...

3 de julho de 2026

Vírus bancário ativo no Brasil foi adaptado para...

3 de julho de 2026

Ministro da Saúde anuncia investimentos no CNPEM e...

3 de julho de 2026

Assassin’s Creed Shadows e mais jogos para Switch...

3 de julho de 2026

Campinas lacra pensão irregular no Centro e aplica...

3 de julho de 2026

Leitura obrigatória

  • Nvidia faz PC em forma de Maracanã e RTX do Brasil para Lucas Paquetá

    4 de julho de 2026
  • Acompanhe aqui o concerto da Capela Sistina na Catedral

    4 de julho de 2026
  • Volkswagen T-Cross fica até R$ 10.000 mais barato e se afasta do Taos

    4 de julho de 2026
  • Programação de férias do CCBB em São Paulo começa neste sábado

    3 de julho de 2026
  • 8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações

    3 de julho de 2026

Newsletter

Posts relacionados

  • Nvidia faz PC em forma de Maracanã e RTX do Brasil para Lucas Paquetá

    4 de julho de 2026
  • 8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações

    3 de julho de 2026
  • Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa

    3 de julho de 2026
  • Assassin’s Creed Shadows e mais jogos para Switch com até 90% OFF na eShop

    3 de julho de 2026
  • Como achar promoções para viajar para os melhores lugares do Brasil

    3 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Minions & Monstros, Elle e mais! Os lançamentos de filmes e séries da semana (28/06)
28 de junho de 2026
Home office: 105 vagas para trabalho remoto [30/06]
30 de junho de 2026

Postagens Aleatórias

Tiago Splitter vê Chicago Bulls como "um quadro branco para pintar"
22 de junho de 2026
Lula recua de plano para compra de avião presidencial por temor de desgaste eleitoral
3 de abril de 2026
The Boroughs terá segunda temporada na Netflix? Veja o que dizem criadores sobre futuro da série
26 de maio de 2026

Categorias Populares

  • Tecnologia (5.876)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.032)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.094)
  • Bragança Paulista (1.063)
  • Esporte (764)
  • Saúde (487)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home