Um bug no sistema de suporte com inteligência artificial do Meta permitiu que invasores alterassem e-mails de contas do Instagram e Facebook, facilitando o roubo de perfis.
Cerca de 20.225 usuários foram comprometidos, especialmente aqueles sem autenticação de dois fatores (2FA), com possível acesso a dados pessoais, mensagens e atividades.
A Meta desativou o sistema de suporte com IA (HTS), corrigiu a falha e afirmou que irá relançar o serviço após reforçar os mecanismos de verificação de segurança.
Mais de 20 mil usuários do Instagram tiveram suas contas roubadas devido aos ataques perpetrados contra o sistema de suporte baseado em inteligência artificial (IA) para a redefinição de senhas do Instagram e do Facebook, que vieram à tona na semana passada.
Na semana passada, soube-se que uma falha permitiu usar o novo assistente de suporte de inteligência artificial da Meta para roubar contas de Instagram de alto perfil, solicitando ao ‘chatbot’ que alterasse o endereço de e-mail associado à conta alvo.
Em uma carta de notificação de incidentes enviada ao procurador-geral dos Estados Unidos, Aaron Frey, pela conselheira geral associada e responsável legal pela Resposta a Incidentes da Meta, Amber Hannah, a empresa confirmou que até 30 usuários do Instagram no estado do Maine foram afetados por essa violação.
De fato, na carta de notificação, pode-se ler que o incidente ocorreu em 17 de abril, que seria justamente a data do primeiro ataque recebido utilizando essa falha de segurança no novo programa de suporte com IA lançado pela Meta em dezembro do ano passado.
A Meta mencionou que não possui informações sobre os dados pessoais aos quais se teve acesso ou que foram roubados, mas afirma que os invasores poderiam ter obtido acesso a informações de contato, datas de nascimento, publicações na rede social e seu conteúdo, bem como a mensagens diretas, à atividade da conta e às contas e serviços conectados.
O Bleeping Computer informa que o número total de usuários afetados por essa violação chega a 20.225 e são, justamente, todos aqueles que não tinham a autenticação de dois fatores (2FA) ativada em suas contas.
Hannah afirmou na carta que “a ferramenta funcionava corretamente, mas que, devido a um bug em uma rota de código independente, o sistema não verificava se o endereço de e-mail fornecido correspondia ao endereço de e-mail associado à conta do Instagram daquele usuário”.
Na semana passada, foi revelado que os invasores se aproveitaram do fato de o sistema HTS (High Touch Support) não verificar se os endereços de e-mail estavam associados às contas do Instagram visadas, conseguindo assim os links de redefinição de senha que lhes permitiram sequestrar as contas que não tinham a autenticação de dois fatores (2FA) ativada.
O vice-presidente de Comunicações da Meta, Andy Stone, usou sua conta no X (antigo Twitter) para responder a uma das pessoas afetadas, afirmando que o problema já havia sido resolvido e que estavam protegendo as contas afetadas.
O próximo passo da Meta foi desativar o serviço de suporte HTS impulsionado por IA e todos os links de redefinição de senha que haviam sido gerados para evitar possíveis roubos de contas como parte da campanha realizada pelos invasores.
Siga o Times Brasil no Google e receba as principais notícias do Brasil e do Mundo.
A Meta planeja relançar o serviço, mas não sem antes corrigir o sistema de autenticação para garantir uma verificação adequada antes de prosseguir com a redefinição de senha.
📌 ONDE ASSISTIR AO MAIOR CANAL DE NEGÓCIOS DO MUNDO NO BRASIL:
🔷 Canal 562 ClaroTV+ | Canal 562 Sky | Canal 592 Vivo | Canal 187 Oi | Operadoras regionais
🔷 TV SINAL ABERTO: parabólicas canal 562
🔷 ONLINE: www.timesbrasil.com.br | YouTube
🔷 FAST Channels: Samsung TV Plus, LG Channels, TCL Channels, Pluto TV, Roku, Soul TV, Zapping | Novos Streamings
CEO da Vinted vê mudança “fundamental” em consumo; empresa de produtos usados alcança US$ 9 bilhões 
