Falha na IA da Meta permite roubo de mais de 20 mil contas do Instagram

Mais de 20 mil usuários do Instagram tiveram suas contas comprometidas devido a ataques que exploraram uma falha no sistema de suporte com inteligência artificial (IA) da Meta para redefinição de senhas no Instagram e Facebook.

Foi revelado que a falha permitia que o assistente de suporte com IA da Meta alterasse o endereço de e-mail associado a contas altas do Instagram, facilitando o roubo das mesmas. Essa vulnerabilidade veio à tona na semana passada.

Em uma notificação enviada ao procurador-geral dos Estados Unidos, Aaron Frey, Amber Hannah, conselheira geral associada da Meta responsável pela Resposta a Incidentes, confirmou que até 30 usuários no estado do Maine foram afetados.

O primeiro ataque utilizando essa vulnerabilidade ocorreu em 17 de abril, data próxima ao lançamento do programa de suporte com IA em dezembro do ano anterior.

A Meta afirmou não ter informações sobre os dados pessoais acessados ou roubados, mas reconheceu que os invasores poderiam ter obtido informações de contato, datas de nascimento, publicações, mensagens diretas, atividades da conta e dados de contas e serviços conectados.

Segundo o Bleeping Computer, o total de vítimas chega a 20.225 usuários que não ativaram a autenticação de dois fatores (2FA).

Amber Hannah explicou que a ferramenta de suporte funcionava corretamente, porém um bug em uma rota de código não verificava se o e-mail fornecido correspondia ao e-mail associado à conta do Instagram demandada.

Os invasores exploraram a falta de verificação no sistema HTS (High Touch Support), que não confirmava se os endereços de e-mail pertenciam às contas-alvo, obtendo assim links para redefinição de senha para sequestrar as contas sem 2FA.

Andy Stone, vice-presidente de Comunicações da Meta, respondeu a um usuário afetado via X (antigo Twitter) afirmando que o problema foi solucionado e que as contas comprometidas estavam sendo protegidas.

A Meta desativou o serviço de suporte HTS com IA e cancelou todos os links de redefinição de senha emitidos para impedir novos roubos de contas durante a campanha dos invasores.

A empresa planeja relançar o serviço somente após implementar correções no sistema de autenticação para garantir a verificação adequada antes de realizar a redefinição de senhas.

Créditos: tribuna do norte