{"id":15194,"date":"2025-04-24T05:30:38","date_gmt":"2025-04-24T08:30:38","guid":{"rendered":"https:\/\/www.mussicom.com\/hackers-podiam-colocar-anuncios-falsos-no-instagram-de-brasileiros\/"},"modified":"2025-04-24T05:30:38","modified_gmt":"2025-04-24T08:30:38","slug":"hackers-podiam-colocar-anuncios-falsos-no-instagram-de-brasileiros","status":"publish","type":"post","link":"https:\/\/mussicom.com\/noticias\/hackers-podiam-colocar-anuncios-falsos-no-instagram-de-brasileiros\/","title":{"rendered":"Hackers podiam colocar an\u00fancios falsos no Instagram de brasileiros"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p>A Meta, dona do Instagram e Facebook, corrigiu duas vulnerabilidades que afetavam a cria\u00e7\u00e3o de an\u00fancios na rede social de fotos em mar\u00e7o deste ano. Segundo o desenvolvedor Renato Amaral, em entrevista exclusiva ao <i>TecMundo<\/i>, cibercriminosos tinham a capacidade de <strong>criar an\u00fancios se passando por qualquer conta profissional<\/strong> j\u00e1 existente dentro do Instagram e Facebook.<\/p>\n<p>As vulnerabilidades n\u00e3o afetavam apenas o Brasil, mas tamb\u00e9m as contas em todo o mundo.<\/p>\n<p>Renato Amaral, que hoje \u00e9 TOP 2 no ranking de bug bounty da Meta (programas de recompensas por falhas), explica que as falhas j\u00e1 foram validadas pela equipe de seguran\u00e7a da companhia de Mark Zuckerberg e recebeu dois pagamentos pela descoberta, com valor total de US$ 99 mil.<\/p>\n<p>Os detalhes t\u00e9cnicos que envolvem as brechas n\u00e3o foram revelados. Segundo Amaral, a pr\u00f3pria Meta n\u00e3o autorizou que as miudezas fossem descritas.<\/p>\n<p>\u201cBasicamente a falha dava permiss\u00e3o de anunciante nas contas do Instagram, a\u00ed com essa permiss\u00e3o eu conseguia criar um an\u00fancio e publicar uma foto no perfil das contas profissionais\u201d, explica o desenvolvedor. \u201cA foto, como \u00e9 foto de an\u00fancio, n\u00e3o aparece no feed da pessoa, mas ela era publicada dentro da conta da pessoa\u201d.<\/p>\n<figure class=\"image\"><figcaption>Reconhecimento da META enviado ao desenvolvedor<\/figcaption><\/figure>\n<h2>O que eram as falhas do Instagram e Facebook?<\/h2>\n<p>O desenvolvedor afirma que <strong>as brechas envolviam uma falha de l\u00f3gica<\/strong>, e n\u00e3o seria um CVE (Vulnerabilidades e Exposi\u00e7\u00f5es Comuns) ou erro de programa\u00e7\u00e3o.<\/p>\n<p>\u201cHavia a possibilidade de criar um an\u00fancio no perfil da Magazine Luiza, por exemplo, vendendo algum produto. Dentro do Instagram, se tornaria um produto vendido pela pr\u00f3pria Magalu, mas o link seria falso, com rota alterada\u201d, explica Amaral.<\/p>\n<h3>Como o golpe do Instagram acontece?<\/h3>\n<p>Mesmo sem detalhes t\u00e9cnicos revelados, o golpe se desenrolava da seguinte maneira:<\/p>\n<ul>\n<li>V\u00edtimas (usu\u00e1rios do Instagram e Facebook) recebem an\u00fancios de empresas X no pr\u00f3prio feed<\/li>\n<li>O an\u00fancio \u00e9 leg\u00edtimo, mas o link \u00e9 fraudulento e leva para uma p\u00e1gina falsa<\/li>\n<li>O an\u00fancio n\u00e3o aparece no perfil do ecommerce, aparece apenas no feed de v\u00edtimas<\/li>\n<\/ul>\n<p>Para o cibercriminoso, o caminho seria este:<\/p>\n<ul>\n<li>Cibercriminoso obt\u00e9m acesso de anunciante no perfil de loja (exemplo, Magalu)<\/li>\n<li>Cibercriminoso cria um an\u00fancio no perfil deles com uma imagem de um produto falso e com link para site falso<\/li>\n<li>V\u00edtimas recebem o an\u00fancio no feed\/stories como um an\u00fancio oficial &#8220;da Magalu&#8221;\u00a0<\/li>\n<li>A propaganda falsa n\u00e3o aparece para a loja (exemplo, Magalu) e eles n\u00e3o sabem que ela foi feita em nome deles<\/li>\n<li>Cibercriminoso recolhe o que configura no link falso, seja roubo de dados pessoais ou dados financeiros<\/li>\n<\/ul>\n<h4>Um ataque sem prote\u00e7\u00e3o<\/h4>\n<p>As vulnerabilidade descobertas por Renato Amaral eram praticamente golpes perfeitos: n\u00e3o havia como a v\u00edtima se proteger previamente.<\/p>\n<p>\u201cA falha afetava todas as contas que est\u00e3o como profissionais no Instagram, praticamente todas as contas grandes de empresas e influencers s\u00e3o profissionais. N\u00e3o tinha o que a pessoa fazer. Mesmo que ela acessasse a publica\u00e7\u00e3o pelo link na conta dela, ela n\u00e3o conseguia excluir porque dava erro, era uma publica\u00e7\u00e3o atrelada a an\u00fancio sem possibilidade de exclus\u00e3o\u201d, explica.<\/p>\n<p>O desenvolvedor ainda revela que o cibercriminoso tinha a capacidade de excluir coment\u00e1rios de v\u00edtimas e checar o engajamento na publica\u00e7\u00e3o falsa, mas que esse ponto n\u00e3o foi muito relevante para Meta, que focou apenas na corre\u00e7\u00e3o de ambas as falhas citadas anteriormente.<\/p>\n<p>Para acompanhar as principais not\u00edcias de ciberseguran\u00e7a e se manter seguro, siga nosso caderno dedicado.<br \/>\u00a0<\/p>\n<\/div>\n<p><br \/>\n<br \/>Fonte: <a href=\"https:\/\/www.tecmundo.com.br\/seguranca\/404121-hackers-podiam-colocar-anuncios-falsos-no-instagram-de-brasileiros.htm\">TecMundo<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>A Meta, dona do Instagram e Facebook, corrigiu duas vulnerabilidades que afetavam a cria\u00e7\u00e3o de an\u00fancios na rede social de fotos em mar\u00e7o deste ano. Segundo o desenvolvedor Renato Amaral, em entrevista exclusiva ao TecMundo, cibercriminosos tinham a capacidade de criar an\u00fancios se passando por qualquer conta profissional j\u00e1 existente dentro do Instagram e Facebook. [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":15195,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[50],"tags":[],"class_list":["post-15194","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/posts\/15194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/comments?post=15194"}],"version-history":[{"count":0,"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/posts\/15194\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/media\/15195"}],"wp:attachment":[{"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/media?parent=15194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/categories?post=15194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mussicom.com\/noticias\/wp-json\/wp\/v2\/tags?post=15194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}