Segurança 2FA ignorada no login do Instagram

CesarSilva · Julho 16, 2021, 9:43pm

Hoje aconteceu comigo o mesmo o que aconteceu com outro coleguinha aqui da comunidade (Instagram invadido mesmo com a autenticação em 2 fatores ativada): acessaram dos Estados Unidos minha conta do Instagram com o 2FA ativado via Microsoft Auth.
O Instagram me mandou um email perguntando se tinha sido eu, assim que li (uns 5 minutos depois) troquei a senha da conta.

Informações úteis sobre a conta:

Essa conta é uma conta que uso de “rascunho”; não tem foto de perfil; um dúzia de postagens (que ninguém vê porque tem 0 seguidores); segue alguns famosos; o nome de usuário é um monte de letras números aleatórios justamente pra não alugar um username que alguém possa estar interessado; a bio é uma mensagem avisando que é uma conta “ghost” e pra ignorar.

Curiosidade, eu recebi o email do instagram sobre o login, porém na seção “Atividade de login”, só aparece o meu atual, não sei se esse é o padrão que ele só mostra as contas logadas e ao trocar a senha derrubaram o login do “hacker(?)”, ou sei lá oq tá acontecendo.

Agora a pergunta é: Como car–hos conseguiram fazer login sem o código do Authenticator sendo que suspostamente isso deveria ser “impossivel”? Sendo que acabei de tentar fazer login no PC e pediram o código.

Eu sinceramente não tô precupado com a conta em si, como eu disse ela é uma secundaria sem importância, mas se os caras conseguiram passar por cima do 2FA dessa conta pode ser que passem pelo de qualquer outra(?).

Minha conta foi invadida, a do coleguinha daqui também já foi, será que nós que fizemos ■■■■■ o o Instagram tá com problema na segurança? To quase mandando email pra eles pra saber como minha conta foi acessada, só tô com medo de receber um "nós não nos responsabilizamos por códigos de terceiros mensagemautomaticablablabla (principalmente por ser uma conta “ghost”, que eles não devem curtir muito).

Obs1: Esse email consta na lista dos enviados pelo instagram, então ele não, é, falso.

print

Obs2: Não tenho outros métodos de autenticação ativos, só os códigos de 30 segundos e os códigos de backup (esses nem eu tenho anotado)
Obs3: Quando isso aconteceu com o coleguinha eu tinha alertado do risco de isso acontecer com outros, e olha só com quem aconteceu haha.

Keaton · Julho 16, 2021, 9:52pm

Pergunta besta… isso não é um scam para roubar os dados do teu login?
Tem havido uns scams bem elaborados… (tinha esse acesso do USA lá onde mostra onde tu se logou?)

CesarSilva · Julho 16, 2021, 9:54pm

O email era oficial do instagram, além disso em nenhum momento pediram nenhum dado meu.

Keaton · Julho 16, 2021, 9:55pm

Já ouviu falar em “email spoofing”?
Verifica nos detalhes do email (ou no email em texto que o GMail deixa verificar)

CesarSilva · Julho 16, 2021, 9:58pm

Não seria quando usam um email parecido com oficial e galera não le direito? Além disso não me pediram ninhuma informação antiga.
E no site pra trocar a senha o domínio também era instagram.com
Fiz login da conta no PC, e o instagram me mandou email visando também, o endereço era o mesmo do aviso do login dos EUA, então creio que os emails são legítimos sim.

Não entendi essa parte.

Seria isso aqui?

gusta · Julho 16, 2021, 10:12pm

Parece que foi o Instagram mesmo que te enviou o e-mail.

Você consegue ver o histórico de e-mail enviado pelo Instagram indo em Configurações > Segurança > Emails do Instagram.

https://help.instagram.com/760602221058803

Sobre como conseguiram acessar a conta protegida por 2FA, não tenho ideia. Talvez usaram o código enviado por SMS, que você pode desativar.

CesarSilva · Julho 16, 2021, 10:13pm

Esse email consta no histórico.

Nem tenho outros métodos ativados, só os códigos de 30seg mesmo.

Krebs01 · Julho 16, 2021, 10:19pm

O que é esse mail antes do nome do Instagram?

LekyChan · Julho 16, 2021, 10:19pm

Fica baixando iso linux da nisso.

O instagram deve ter uma implementação bem porca de 2FA, pois é muito estranho isso.

CesarSilva · Julho 16, 2021, 10:21pm

Não entendi.
O que está borrado de preto é meu email.

Nunca usei linux na vida , e os códigos ficam no meu celular (que é 100% limpo de “apps controversos”, então???

LekyChan · Julho 16, 2021, 10:23pm

é que o email usado é “@mail.instagram.com” em vez de só “@instagram.com” por isso a duvida dele

CesarSilva · Julho 16, 2021, 10:25pm

Esse email consta na lista de emails oficiais do instagram (print ali em cima) então a falha não é ali.

Keaton · Julho 16, 2021, 11:19pm

Tu consegue notar a diferença entre “a” e “а”? “e” e “е”? (se duvida, copia os caracteres e joga num text to ascii da vida)
Tem muito caractere parecido e isso vem sendo usado faz tempinho já. Por isso que eu perguntei se realmente tinha aquele acesso na lista de acessos da tua conta.

CesarSilva · Julho 17, 2021, 12:02am

Agora entendi, vlw por explicar. Mas como mostrei ali em cima, esse email consta na lista de emails que o instagram me mandou, então esse não foi o caso.

Resumo

LekyChan · Julho 17, 2021, 12:43am

Creio que o hacker possa ter usado o sistema que envia esses emails

Keaton · Julho 17, 2021, 12:52am

Mas esses negócios passam os 2 passos? wdf.

CesarSilva · Julho 17, 2021, 12:53am

Mas pra isso ele precisaria de acesso ao meu email cadastrado. (chequei e não deve nenhum login estranho nele)

LekyChan · Julho 17, 2021, 12:56am

através desse link o instagram já entra logado

@CesarSilva não necessariamente, já que a brecha pode estar no sistema que cria esses emails, afinal ele cria um link que é possível logar sem credencial

Keaton · Julho 17, 2021, 12:58am

mds… de quem foi a grande idéia de criar esses links?

CesarSilva · Julho 17, 2021, 1:01am

Acabei de testar e não passa, ele só ignora a senha mas ainda pede o código 2FA (ou seja, ainda estamos sem resposta).