Um pesquisador de segurança identificou, em outubro de 2025, uma falha grave de autorização nos servidores do Instagram que possibilitava o acesso irrestrito a conteúdos de contas privadas, sem qualquer tipo de autenticação. A vulnerabilidade foi descoberta por Jatin Banga durante o desenvolvimento de uma ferramenta de automação de requisições HTTP.
A falha permitia que usuários não autenticados obtivessem links diretos de CDN para fotos e vídeos de perfis privados, incluindo legendas e metadados completos. O acesso indevido não exigia login, vínculo de seguidor ou credenciais válidas — apenas conhecimento básico sobre requisições HTTP.
Como a vulnerabilidade funcionava
O problema estava relacionado a um erro de autorização no backend do Instagram. Ao enviar uma requisição GET não autenticada para a URL de um perfil específico, utilizando determinados headers associados a navegadores móveis, o servidor retornava uma resposta HTML que continha um objeto JSON chamado polaris_timeline_connection.
Dentro desse objeto, o campo edges incluía URLs diretas para conteúdos privados armazenados na CDN da plataforma. Isso incluía imagens em alta resolução, vídeos e textos das publicações.
Segundo o pesquisador, não se tratava de um erro de cache ou configuração de CDN. O servidor do Instagram estava efetivamente gerando e entregando dados privados sem validar se o solicitante possuía autorização para acessá-los, ignorando completamente as regras de privacidade.
Durante a análise, Banga identificou um comportamento anômalo que chamou de “estado de gatilho”. Em determinadas contas privadas, o servidor retornava informações inconsistentes, como “0 seguidores / 0 seguindo”, independentemente do número real. Nesse estado, os dados privados da timeline eram incluídos indevidamente na resposta, como se o sistema estivesse operando fora de seus controles normais de segurança.
Alcance potencial do problema
Seguindo práticas éticas de pesquisa, todos os testes foram limitados a contas controladas pelo próprio pesquisador ou a perfis cujos donos autorizaram explicitamente os testes. Em um conjunto de sete contas analisadas, duas apresentaram a vulnerabilidade — uma taxa de cerca de 28%.
Considerando que o Instagram possui mais de 1 bilhão de usuários ativos, o impacto potencial poderia ser significativamente maior, especialmente porque a descoberta inicial ocorreu de forma acidental em uma conta não autorizada.
A falha não afetava todos os perfis privados de forma uniforme. Indícios preliminares sugeriram maior incidência em contas mais antigas, embora a causa exata nunca tenha sido confirmada oficialmente, já que a Meta não realizou uma análise técnica aprofundada documentada.
Divulgação responsável e resposta da Meta
Entre os dias 12 e 15 de outubro de 2025, Banga iniciou o processo de divulgação responsável junto à Meta. O primeiro relatório foi rejeitado rapidamente por interpretação equivocada. Um segundo envio, com descrição técnica mais precisa, levou à abertura de uma investigação.
A Meta solicitou testes em uma conta interna, onde a falha não se manifestou, indicando que o problema era condicional. Com autorização de um terceiro usuário, o pesquisador conseguiu demonstrar a exploração com sucesso, extraindo dezenas de URLs privadas e enviando uma análise detalhada do mecanismo da falha.
Em 16 de outubro, durante testes de verificação, o pesquisador constatou que a vulnerabilidade havia deixado de funcionar. As contas anteriormente afetadas passaram a retornar respostas vazias, indicando que uma correção silenciosa havia sido aplicada, sem comunicação formal.
Curiosamente, o problema foi resolvido exatamente 48 horas após o envio à Meta da lista com as contas vulneráveis. Ainda assim, dias depois, a empresa respondeu afirmando que “não conseguiu reproduzir o problema” e classificou o caso como “Não Aplicável”, sem elegibilidade para recompensa no programa de bug bounty.
Mesmo após o pesquisador apontar a contradição — já que as contas vulneráveis haviam sido explicitamente solicitadas e corrigidas —, a Meta manteve a decisão, alegando que a correção poderia ter ocorrido como “efeito colateral não intencional” de outra mudança.
Pontos que ficaram sem esclarecimento
A análise das comunicações revela falhas no processo investigativo. Banga ofereceu compartilhar logs completos de rede, incluindo headers internos que permitiriam rastreamento preciso das requisições nos sistemas da Meta, mas a oferta não foi aceita.
O pesquisador também forneceu um conjunto comparativo de contas afetadas e não afetadas, um material valioso para identificar padrões e causas raiz em falhas condicionais. Nenhuma análise adicional foi solicitada com base nesses dados.
Sem uma investigação conclusiva, não há garantia técnica de que o problema foi completamente eliminado, levantando preocupações sobre a possibilidade de recorrência em outros cenários.
Documentação e divulgação pública
Durante todo o processo, Banga manteve um rigoroso protocolo de documentação. Ele preservou scripts de prova de conceito, registros de rede, capturas comparativas antes e depois da correção e vídeos com verificação de integridade por hash SHA256.
Todo o material foi armazenado em um repositório Git público, com histórico de commits e timestamps verificáveis, garantindo a autenticidade das evidências. Essa documentação se tornou especialmente relevante após a negativa oficial da Meta quanto à existência da falha.
Após estender o prazo padrão de divulgação coordenada de 90 para 102 dias, e sem obter resposta final da empresa, o pesquisador notificou formalmente a Meta em 22 de janeiro de 2026 sobre a divulgação pública iminente. Dois dias depois, em 24 de janeiro, toda a documentação foi tornada pública, encerrando o período de coordenação sem posicionamento oficial da companhia.
