Mais de 20.000 usuários do Instagram podem ter sido afetados por uma campanha de tomada de controle de conta que permitiu a atacantes apreender perfis, bloquear proprietários legítimos e assumir o controle de nomes de usuário valiosos.
Os incidentes vieram à tona depois que usuários relataram ter perdido o acesso às suas contas sem aviso prévio. As vítimas disseram que os atacantes rapidamente mudaram as informações de recuperação da conta, impedindo-os de retomar o controle após a conclusão da aquisição.
A campanha teria como alvo uma ampla variedade de contas, incluindo empresas, figuras públicas, organizações e donos de nomes de usuário raros ou muito procurados. Algumas contas comprometidas foram posteriormente anunciadas para venda pelos canais do Telegram, enquanto outras foram privadas de nomes de usuário valiosos que poderiam ser transferidos ou revendidos.
Várias contas proeminentes teriam sido afetadas. A Reuters identificou contas associadas à Sephora, à conta da Casa Branca de Obama no Instagram e ao Sargento-Mor da Força Espacial dos EUA, John Bentivegna, entre as alvos.
As vítimas descreveram um processo rápido no qual as configurações da conta foram modificadas antes que tivessem a oportunidade de responder. Alguns usuários relataram perder o acesso apesar de terem medidas de segurança adicionais ativadas em suas contas.
Pesquisadores disseram que os atacantes exploraram uma fraqueza no processo de recuperação de contas da Meta, permitindo que alterassem informações de recuperação vinculadas a contas-alvo. Uma vez alterados esses dados, os atacantes podiam redefinir senhas e assumir o controle dos perfis.
A campanha de aquisição parece ter focado fortemente em contas com nomes de usuário desejáveis, que podem ter valor significativo em mercados clandestinos. Pesquisadores disseram que contas e nomes de usuário comprometidos eram negociados por meio de comunidades online dedicadas à compra e venda de ativos de redes sociais.
A dimensão da campanha gerou preocupações porque supostamente afetou milhares de usuários antes que o problema subjacente fosse resolvido. Relatórios indicam que atacantes conseguiram usar repetidamente o mesmo método contra múltiplos alvos em um período relativamente curto.
A Meta reconheceu o problema e disse que corrigiu a vulnerabilidade que permitia as aquisições de conta. A empresa também afirmou que está trabalhando com usuários afetados para restaurar o acesso a contas comprometidas.
A empresa não divulgou publicamente o número total de usuários afetados. No entanto, pesquisadores que acompanham a campanha estimam que mais de 20.000 contas do Instagram podem ter sido afetadas antes que a falha fosse corrigida.