Uma coisa que estamos aprendendo com os tempos é que o Facebook tem um ar meio inquisitório e portanto, muita coisa não chega a público nem é porque não existe, mas sim, porque o Facebook acaba ameaçando as pessoas que tentam nos mostrar as falhas da plataforma.

E o porque digo isto ? Porque o pesquisador que descobriu as falhas no sistema do Instagram foi ameaçado pelo pessoal do Facebook assim que ele relatou que haviam falhas bem críticas no serviço da gigante.

Sim, o Facebook está tomando ações legais contra o pesquisador simplesmente porque ele relatou que achou uma série de vulnerabilidades de segurança e até, falhas de configuração que permitram acesso completo aos servidores do Instagram. Sim, ao invés de agradecer ao pesquisador ( com o Google faz inclusive com prêmios ) , o Facebook está processando o pesquisador …

E ao que o pesquisador teve acesso ? Praticamente a tudo:

• Código fonte completo do site do Instagram
• Todos os certificados e chaves privadas SSL do serviço
• Chaves usadas para assinar os cookies de autenticação
• Dados pessoais de usuários e funcionários do Instagram
• As credenciais do servidor de e-mail
• Chaves de mais uma meia dúzia de outros serviços críticos

E isto tudo ocorreu porque Weinberg resolveu analisar os sistemas do Instagram e alguns amigos sugeriram um servidor potencialmente vulnerável localizado na url sensu.instagram.com.

Ali , ele encontrou uma vulnerabilidade de Remote Code Execution na parte de gerenciamento de cookies dos usuários.

Ele conseguiu explorar esta vulnerabilidade através de dois pontos fracos no Instagram :

• A interface web do Sensu ( Sensu-Admin ) em execução no servidor continha um token secreto diretamente no código ( o famoso hard-coded ).
• O host estava executando uma versão do Ruby (3.x) que era susceptível a execução de código através do cookie de seção do Ruby.

A partir desta falha o pesquisador teve condições de acessar um banco de dados contendo detalhes de login, incluindo credenciais de ambos os empregos, Instagram e Facebook.

A boa notícia é que as senhas eram protegidas por bycrypt, mas … como sempre foi possível quebrar algumas delas que eram senhas bem fracas  em alguns minutos.

O especialista em seguida concentrou seus esforços na configuração do servidor e descobriu que um dos arquivos continha algumas chaves para o serviço Amazon Web Services que eram utilizadas pelo Instagram como armazenamento de dados.

Neste arquivo ele não encontrou nada sensível no último arquivo de configuração mas quando ele olhou a versão mais antiga do arquivo ele encontrou um outro par de chaves que o deixou ler o conteúdo de todos os baldes.

A partir daí ele conseguiu comprometer toda a arquitetura do Instagram ele ganhou acesso ao código fonte da plataforma, certificados SSL e chaves privadas ( instagram.com e *.instagram.com ), chaves de API, imagens dos usuários, conteúdo estático do Instagram, credenciais do servidor de e-mail, chaves de assinatura do iOS/Android e muito mais.

Quem quiser mais detalhamentos sobre o acontecido, o pessoal do Security Affairs detalhou muito bem o restante do problema ( que deixa de ser técnico para passar a ser birra do Facebook .

Via Security Affairs