Alguns dias atrás o site The Hacker News informou sobre uma falha no Instagram que permitia o atacante “roubar” as contas dos usuários e acessar fotos privadas, excluir fotos da vítima, editar comentários e até mesmo postar uma nova foto.

Graham, o pesquisador que achou a falha e fez essa aplicação, twitou o seguinte: “Denied bug bounty. Next step is to write automated tool enabling mass hijacking of accounts,” he wrote. “Pretty serious vuln, FB. please fix.

 

Você pode ver a ferramenta aqui.

O Facebook ficou ciente do problema e falou que está trabalhando na solução por meio de protocolo HTTPS, porém ainda não está claro quanto tempo vai demorar.

O que podemos dizer da falha é o seguinte: Cuidado onde está conectando seu celular. A vulnerabilidade expõe dados através de ataque Man-in-the-middle, pois o aplicativo envia alguns dados não criptografados com o cookie de sessão. O invasor pode então utilizar esses cookies e ter acesso total ao instagram da vítima.

Graham ainda citou: “I don’t agree the barrier to exploit is high. All it takes is one sufficiently skilled person to release a tool so simple even a script kiddie can use it. At that point Pandora’s Box has been blown apart,”.

Para pessoas leigas a ferramenta não terá muita utilidade, mas na mão de pessoas que ao menos saibam ler e executá-la será uma arma e tanto. Basta chegar em alguma rede pública de wi-fi compartilhado ou algo do gênero e executar. O certo é que devemos aproveitar até que o Facebook conserte a falha e fazer estudos em cima da ferramenta disponibilizada, segundo Graham o instasheep foi criado com o intuito de agilizar o processo de mitigação da falha por parte do Facebook.

Traduzindo… O cara criou o Instasheep para forçar o facebook a consertar o instagram o mais rápido possível. hehe

fonte: http://securityattack.com.br/