Segurança 2FA ignorada no login do Instagram

Hoje aconteceu comigo o mesmo o que aconteceu com outro coleguinha aqui da comunidade (Instagram invadido mesmo com a autenticação em 2 fatores ativada): acessaram dos Estados Unidos minha conta do Instagram com o 2FA ativado via Microsoft Auth.
O Instagram me mandou um email perguntando se tinha sido eu, assim que li (uns 5 minutos depois) troquei a senha da conta.

Informações úteis sobre a conta:

Essa conta é uma conta que uso de “rascunho”; não tem foto de perfil; um dúzia de postagens (que ninguém vê porque tem 0 seguidores); segue alguns famosos; o nome de usuário é um monte de letras números aleatórios justamente pra não alugar um username que alguém possa estar interessado; a bio é uma mensagem avisando que é uma conta “ghost” e pra ignorar.

Curiosidade, eu recebi o email do instagram sobre o login, porém na seção “Atividade de login”, só aparece o meu atual, não sei se esse é o padrão que ele só mostra as contas logadas e ao trocar a senha derrubaram o login do “hacker(?)”, ou sei lá oq tá acontecendo.

Agora a pergunta é: Como car–hos conseguiram fazer login sem o código do Authenticator sendo que suspostamente isso deveria ser “impossivel”? Sendo que acabei de tentar fazer login no PC e pediram o código.

Eu sinceramente não tô precupado com a conta em si, como eu disse ela é uma secundaria sem importância, mas se os caras conseguiram passar por cima do 2FA dessa conta pode ser que passem pelo de qualquer outra(?).

Minha conta foi invadida, a do coleguinha daqui também já foi, será que nós que fizemos merda o o Instagram tá com problema na segurança? To quase mandando email pra eles pra saber como minha conta foi acessada, só tô com medo de receber um "nós não nos responsabilizamos por códigos de terceiros mensagemautomaticablablabla (principalmente por ser uma conta “ghost”, que eles não devem curtir muito).

Obs1: Esse email consta na lista dos enviados pelo instagram, então ele não, é, falso.

print

Obs2: Não tenho outros métodos de autenticação ativos, só os códigos de 30 segundos e os códigos de backup (esses nem eu tenho anotado)
Obs3: Quando isso aconteceu com o coleguinha eu tinha alertado do risco de isso acontecer com outros, e olha só com quem aconteceu haha.

1 curtida

Pergunta besta… isso não é um scam para roubar os dados do teu login?
Tem havido uns scams bem elaborados… (tinha esse acesso do USA lá onde mostra onde tu se logou?)

1 curtida

O email era oficial do instagram, além disso em nenhum momento pediram nenhum dado meu.

Já ouviu falar em “email spoofing”?
Verifica nos detalhes do email (ou no email em texto que o GMail deixa verificar)

1 curtida

Não seria quando usam um email parecido com oficial e galera não le direito? Além disso não me pediram ninhuma informação antiga.
E no site pra trocar a senha o domínio também era instagram.com
Fiz login da conta no PC, e o instagram me mandou email visando também, o endereço era o mesmo do aviso do login dos EUA, então creio que os emails são legítimos sim.

Não entendi essa parte.


Seria isso aqui?

Parece que foi o Instagram mesmo que te enviou o e-mail.

Você consegue ver o histórico de e-mail enviado pelo Instagram indo em Configurações > Segurança > Emails do Instagram.

https://help.instagram.com/760602221058803

Sobre como conseguiram acessar a conta protegida por 2FA, não tenho ideia. Talvez usaram o código enviado por SMS, que você pode desativar.

Esse email consta no histórico.

Nem tenho outros métodos ativados, só os códigos de 30seg mesmo.

O que é esse mail antes do nome do Instagram?

Fica baixando iso linux da nisso.

O instagram deve ter uma implementação bem porca de 2FA, pois é muito estranho isso.

Não entendi.
O que está borrado de preto é meu email.

Nunca usei linux na vida :slight_smile: , e os códigos ficam no meu celular (que é 100% limpo de “apps controversos”, então???

é que o email usado é “@mail.instagram.com” em vez de só “@instagram.com” por isso a duvida dele

2 curtidas

Esse email consta na lista de emails oficiais do instagram (print ali em cima) então a falha não é ali.

Tu consegue notar a diferença entre “a” e “а”? “e” e “е”? (se duvida, copia os caracteres e joga num text to ascii da vida)
Tem muito caractere parecido e isso vem sendo usado faz tempinho já. Por isso que eu perguntei se realmente tinha aquele acesso na lista de acessos da tua conta.

1 curtida

Agora entendi, vlw por explicar. Mas como mostrei ali em cima, esse email consta na lista de emails que o instagram me mandou, então esse não foi o caso.

Resumo

Creio que o hacker possa ter usado o sistema que envia esses emails

Mas esses negócios passam os 2 passos? wdf.

Mas pra isso ele precisaria de acesso ao meu email cadastrado. (chequei e não deve nenhum login estranho nele)

através desse link o instagram já entra logado

@CesarStoffell não necessariamente, já que a brecha pode estar no sistema que cria esses emails, afinal ele cria um link que é possível logar sem credencial

1 curtida

mds… de quem foi a grande idéia de criar esses links?

1 curtida

Acabei de testar e não passa, ele só ignora a senha mas ainda pede o código 2FA (ou seja, ainda estamos sem resposta).