Jump to content
  • Pesquisador é recompensado por descobrir falhas no Instagram


    Bruna Chieco

    A Forbes divulgou o caso de um pesquisador que já recebeu várias recompensas por descobrir falhas no Instagram. Em julho, Laxman Muthiyah revelou que uma vulnerabilidade na rede social lhe permitiu "invadir qualquer conta do Instagram sem permissão de consentimento". A equipe de segurança do Facebook considerou esse um problema grave o suficiente para conceder a Muthiyah uma recompensa de US$ 30 mil. Ele já havia encontrado e divulgado outras três vulnerabilidades do Facebook, dignas de pagamentos de recompensa. ?

    Recentemente, Muthiyah encontrou uma nova falha, semelhante à anterior. A vulnerabilidade, desta vez, foi encontrada na validação de códigos de redefinição de senha do Instagram. A falha significava que um invasor poderia solicitar 1 milhão de códigos de redefinição de senha em uma janela de dez minutos e com 100% de êxito. Ele detectou que quando um usuário solicita uma senha usando seu dispositivo móvel, a ID do dispositivo é enviada junto com a solicitação. A mesma ID de dispositivo é usada novamente para verificar a senha. Os códigos de redefinição de senha do Instagram, contudo, expiram 10 minutos após a solicitação, o que levou à conclusão de a vulnerabilidade não é tão grave quanto parece. 

    A equipe de segurança do Facebook confirmou a vulnerabilidade, que foi corrigida, e concedeu prêmio de US$ 10 mil, agradecendo a Muthiyah por seu relatório — e informando que aguarda os próximos. ?

    Programa de recompensa — Falando nisso, o Facebook estendeu o seu programa de recompensa Data Abuse Bounty para o Instagram. A ideia é que pesquisadores de segurança relatem casos de aplicativos de terceiros que acessam e armazenam indevidamente dados do usuário, incluindo aplicativos e serviços que oferecem falsas informações. De acordo com o Engadget, qualquer aplicativo que solicite informações de login de pessoas está violando os termos de uso do Instagram, e o Facebook deseja que a comunidade de segurança o notifique sobre esses casos.

    Além disso, o Facebook está trabalhando com pesquisadores de segurança para testar o Checkout no Instagram, o recurso que permite que as pessoas comprem produtos sem sair do aplicativo. Um grupo selecionado de pesquisadores teve acesso antecipado ao Checkout no Instagram e será recompensado por relatórios qualificados.

    A empresa de Mark Zuckerberg já desembolsou mais de US$ 1,1 milhão a pesquisadores de segurança de todo o mundo em 2018. O pagamento médio por descoberta de bugs foi de US$ 40 mil. No ano passado, o Facebook recebeu cerca de 17,8 mil relatórios, e o valor médio da recompensa foi em torno de US$ 1,5 mil.


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...