Em março de 2025, a Meta, empresa responsável pelo Instagram e Facebook, corrigiu duas vulnerabilidades significativas que afetavam a criação de anúncios nessas plataformas. As falhas permitiam que cibercriminosos criassem um golpe com anúncios em nome de qualquer conta profissional existente, sem o conhecimento dos proprietários das contas. Essas vulnerabilidades não se limitavam ao Brasil, mas impactavam usuários globalmente.
Renato Amaral, um desenvolvedor de destaque no programa de recompensas por falhas da Meta, descobriu essas brechas. Ele explicou que as falhas foram validadas pela equipe de segurança da Meta, resultando em recompensas que totalizaram 99 mil dólares. No entanto, detalhes técnicos específicos sobre as vulnerabilidades não foram divulgados, a pedido da própria Meta.
Como funcionavam as falhas no Instagram e Facebook?
As vulnerabilidades identificadas por Amaral estavam relacionadas a uma falha de lógica, ao invés de um erro de programação ou uma vulnerabilidade comum (CVE). Essencialmente, a falha permitia que um cibercriminoso obtivesse permissões de anunciante em contas profissionais, possibilitando a criação de anúncios que não apareciam no feed dos proprietários das contas, mas sim nos feeds das vítimas.
Por exemplo, um cibercriminoso poderia criar um anúncio no perfil de uma grande empresa, como a Magazine Luiza, e redirecionar os usuários para um link fraudulento. Esse anúncio não seria visível para a própria empresa, mas apenas para os usuários que visualizassem o feed.
Como os cibercriminosos exploravam essas falhas?
O golpe funcionava da seguinte maneira: as vítimas viam anúncios legítimos de empresas conhecidas em seus feeds, mas os links associados eram fraudulentos, levando a páginas falsas. Os cibercriminosos conseguiam acesso de anunciante em perfis de lojas e criavam anúncios com imagens de produtos falsos, direcionando para sites enganosos.
Os anúncios não apareciam nos perfis das empresas, apenas nos feeds das vítimas, permitindo que os cibercriminosos coletassem dados pessoais ou financeiros dos usuários desavisados. Essa exploração era particularmente perigosa, pois não havia medidas preventivas que as vítimas pudessem tomar para se proteger.
Quais foram as consequências e a resposta da Meta diante a esse golpe?
As vulnerabilidades descobertas por Renato Amaral representavam um risco significativo, pois afetavam principalmente contas profissionais de grandes empresas e influenciadores. A Meta focou na correção dessas falhas, garantindo que anúncios fraudulentos não pudessem mais ser criados sem o conhecimento dos proprietários das contas.
Embora os cibercriminosos pudessem excluir comentários de vítimas e monitorar o engajamento dos anúncios falsos, a Meta priorizou a correção das falhas principais. A empresa não divulgou detalhes técnicos específicos para evitar que informações sensíveis fossem utilizadas por outros cibercriminosos.
Como se proteger de outro golpe semelhante no futuro?
Embora as falhas específicas tenham sido corrigidas, é essencial que os usuários permaneçam vigilantes quanto à segurança online. Algumas medidas preventivas incluem:
- Verificar a autenticidade dos links antes de clicar, especialmente em anúncios.
- Manter os aplicativos e sistemas operacionais atualizados para proteger contra vulnerabilidades conhecidas.
- Utilizar autenticação de dois fatores sempre que possível para adicionar uma camada extra de segurança.
- Educar-se sobre práticas de segurança cibernética para reconhecer sinais de possíveis fraudes.
Manter-se informado sobre as últimas notícias de cibersegurança e seguir recomendações de especialistas pode ajudar a proteger contas e dados pessoais contra ameaças emergentes.
