Designer português descobre gravíssima falha de segurança no Instagram


 
O Shifter precisa de dinheiro para sobreviver.
Se achas importante o que fazemos, contribui aqui.

É praticamente um super-poder. Henrique Macedo, designer UI/UX na start-up Coolfarm, consegue editar qualquer foto publicada no Instagram. Sim, qualquer imagem, de qualquer pessoa. Em teoria, Henrique pode alterar a legenda, identificar pessoas e inclusive mudar a localização, conforme explicou ao Shifter. “Descobri uma das maiores falhas de segurança que uma rede social deseja ter”, disse.

Tinha tudo para ser mais uma consulta ao seu feed de Instagram, rede social que Henrique, de 30 anos, residente em Coimbra, diz utilizar diariamente para fins pessoais. “Descobri o bug por acaso, repliquei-o várias vezes para ter mesmo a certeza de que era real”, contou.

instagramfalhahmacedo_02

Naturalmente que Henrique ficou escandalizado com o que tinha acabado de encontrar. Na verdade, o seu super-poder tanto lhe permite editar a imagem de um amigo, como a foto partilhada por Barack Obama, pela NASA ou pelo próprio Instagram.“Senti-me estupefacto e fiquei sem conseguir reagir nos primeiros segundos”, referiu.

Tudo isto em teoria. Acontece que a falha de segurança que encontrou é apenas um bug que, isolado, não pode ter qualquer efeito prático. Quer isso dizer que, em teoria, Henrique pode editar, mas não pode gravar as edições. Ainda assim, não deixa de ser um grave bug que o Instagram precisa de corrigir.

instagramfalhahmacedo_03

Todavia, o designer português sabia o que tinha de fazer: denunciar a falha de segurança directamente ao Facebook, dono do Instagram, através de um formulário disponibilizado para o efeito. A notificação pode valer-lhe pelo menos 500 dólares, segundo o regulamento do programa de denúncias White Hat.

“Se acreditas que encontraste uma vulnerabilidade de segurança no Facebook, recomendamos que entres em contacto connosco imediatamente. Iremos investigar todas as denúncias legítimas e fazer o nosso melhor para corrigir o problema o mais brevemente possível”, lê-se na página explicativa do processo de denúncia.

Não existe uma recompensa máxima: o valor monetário que o Facebook pode dar é determinado com base na gravidade e criatividade da falha encontrada. Em 2014, a empresa de Mark Zuckerberg pagou mais de 1,3 milhões de dólares a 321 pessoas que detectaram falhas no Facebook ou no Instagram.

Os “hackers” podem optar por doar a sua recompensa a uma instituição de caridade; nesses casos, o valor da mesma é duplicado pelo Facebook. Henrique, que também partilhou a sua descoberta no seu blogue no Medium, confessa que provavelmente é o que vai fazer.

(update a 30/08/2014: clarificação da história)

O Shifter precisa de cerca de 1600 euros em contribuições mensais recorrentes para assegurar o salário aos seus 2 editores. O teu apoio é fundamental!