O Olhar Digital já alertou algumas vezes que a autenticação em duas etapas por meio de recebimento de código por SMS não é recomendável. Agora, o Instagram decidiu tomar as medidas necessárias para eliminar essa brecha de segurança, oferecendo novos métodos de verificação aos seus usuários.

A empresa também vai oferecer segurança extra por meio de aplicativos-token, como é o caso do Google Authenticator e o Authy, que geram números aleatórios alterados a cada minuto. Por serem gerados localmente no celular, os códigos permitem até mesmo que o usuário faça a autenticação se estiver no exterior sem sinal celular.

A mudança do Instagram para oferecer um novo meio de autenticação que não dependesse de SMS foi primeiro identificada dentro do APK do aplicativo para Android pela desenvolvedora Jane Wong. Em contato com o TechCrunch, a empresa confirmou o plano.

A decisão de oferecer uma opção além do SMS vem logo após uma longa e detalhada matéria do site Motherboard, que apresentou uma técnica de ataque chamada de SIM-swapping, que permite a um hacker o controle total de um determinado número telefônico. Desta forma, é possível interceptar códigos de verificação em duas etapas e, pior ainda, solicitar o reset da senha da conta e criar uma nova senha sem sequer precisar saber a palavra-chave original, trancando a vítima para fora do próprio perfil.

Na matéria, o Instagram é apresentado como um dos alvos favoritos, com os ataques visando roubar contas do serviço que possam ser revendidas por altos valores. Um username curto e atraente pode valer bastante no mercado ilegal; vários dos hackers contatados mencionaram que o nome de usuário @t recentemente foi vendido por US$ 40 mil.