Chegou-nos recentemente um caso de hackeamento e tomada de posse de uma conta Instagram portuguesa. A conta em questão estava inactiva há cerca de 3 anos e tinha uso partilhado entre várias pessoas tendo como login o simples par de credenciais: username e password.

A dado momento alguém mudou a password e esqueceu-se da mesma: em consequência todos perderam o acesso. Quando foi possível recuperar o acesso através do recurso ao mail address indicado e a password foi alterada no dia seguinte, de madrugada, alguém aproveitou o facto de a conta ter ainda apenas um acesso simples, sem duplo factor, acedeu com a nova password e mudou o email address e o telemóvel de recuperação.

O telemóvel de recuperação passou a ser um +55 (Brasil) (o que indica que foi enviado um PIN por SMS para este número que este SMS foi ali lido e devolvido de volta ao Instagram validando essa alteração. Pouco depois, o intruso mudaria também o email de autenticação e reset de password e, claro, a própria password. O acesso a esta conta Instagram ficou consequentemente inacessível.

Nos dias seguintes deveria ser enviado pelo intruso um mail (para o email registado inicialmente) requerendo um pagamento para devolver a conta Instagram ao seu legítimo proprietário.

Contudo, foi possível identificar um computador onde ainda estava autenticada (cookie de sessão) esta conta e, a partir daqui, tornar a mudar a password assim como os emails e números de telefone associados recuperando desta forma o acesso.

Análise do Incidente:

Este é um caso clássico de comprometimento por ausência de medidas básicas de segurança e gestão negligente de credenciais. A conta estava inactiva, tinha uso partilhado e não tinha autenticação multifator (2FA) atciva, o que a tornava extremamente vulnerável. Além disso, o facto de alguém ter conseguido alterar os dados de recuperação (telemóvel e email) mostra que o intruso teve acesso legítimo (com a nova password) e tempo suficiente para contornar qualquer tentativa de bloqueio ou alerta de segurança.

A utilização de um número de telefone brasileiro (+55) para validar a alteração dos dados de recuperação é um indicador típico de redes criminosas organizadas que automatizam ou operam esquemas de resgate ou reutilização de contas antigas com seguidores.

O que poderia ter sido feito para evitar este caso?
1. Activação do duplo fator de autenticação (2FA) logo após a recuperação inicial do acesso. Mesmo que por SMS (idealmente por app como Google Authenticator ou Authy), teria impedido o novo login do intruso.
2. Verificação de dispositivos com sessão activa assim que o acesso foi recuperado. O Instagram permite terminar sessões remotas.
3. Remoção imediata de acessos e contas partilhadas. Nunca se devem partilhar credenciais entre várias pessoas, especialmente sem controlo ou registo de alterações.
4. Revisão imediata dos dados de recuperação (email e telefone) para garantir que são actuais e controlados exclusivamente pelo titular da conta.
5. Utilização de uma password forte, exclusiva e gerida por um gestor de palavras-passe, especialmente após uma situação de recuperação.

O que todos os utilizadores de Instagram devem fazer para prevenir situações semelhantes?
1. Activar o 2FA imediatamente. Mesmo contas inactivas devem estar protegidas por múltiplos fatores.
2. Nunca reutilizar passwords entre serviços diferentes.
3. Evitar partilhar acessos. Caso a conta tenha de ser gerida por várias pessoas, usar ferramentas como o Meta Business Suite para dar permissões controladas.
4. Verificar regularmente os acessos e sessões activas na conta e terminar qualquer sessão desconhecida.
5. Actualizar emails e telemóveis de recuperação sempre que houver alterações pessoais.
6. Estar atento a sinais de actividade suspeita, como emails do Instagram sobre alterações não solicitadas.
7. Evitar clicar em links estranhos ou fornecer dados de login fora da plataforma oficial.

Nota adicional: é frequente contas antigas ou inativas se tornarem alvo de ataques porque:
a. podem ter seguidores valiosos;
b. podem ter nomes curtos ou apelativos;
c. podem não estar protegidas por medidas de segurança actuais.

Conclusão:
Este caso mostra que recuperar uma conta não é suficiente é preciso, de imediato, proteger, auditar e reforçar a segurança da mesma. E que a partilha informal de acessos sem regras, registos nem segurança é quase sempre um convite ao desastre.