Uma vulnerabilidade no sistema de suporte por inteligência artificial da Meta permitiu que hackers assumissem o controle de milhares de contas do Instagram. A empresa confirmou, em comunicado oficial enviado ao estado de Maine, nos Estados Unidos, que pelo menos 20.225 contas foram comprometidas por meio de uma falha no chatbot de suporte da plataforma.
A falha descoberta no sistema de suporte
O ataque explorava uma ferramenta de redefinição de senha integrada ao assistente virtual da Meta. De acordo com o relatório enviado às autoridades, os invasores conseguiam solicitar a recuperação de senha sem que o sistema verificasse adequadamente se o endereço de e-mail fornecido correspondia realmente ao associado à conta do usuário. A falha permitia bypassing da autenticação de dois fatores, tornando o processo de invasão surpreendentemente simples.
Como a exploração funcionava
A Meta esclareceu que o chatbot de IA funcionava corretamente e conforme previsto. O problema estava em um caminho de código separado, que não realizava a validação adequada dos dados fornecidos durante o pedido de redefinição de senha. Ao explorar essa falha, os atacantes conseguiam desviar o processo de verificação e obter acesso às contas mesmo quando a autenticação de dois fatores estava ativada.
Descoberta e notificação às autoridades
O caso foi identificado inicialmente pelo site especializado Bleeping Computer, que inúmera a descoberta do comunicado enviado à Attorney General do estado de Maine. A notificação faz parte das exigências legais de divulgação de incidentes de segurança nos Estados Unidos, que obrigam empresas a informar autoridades quando vazamentos de dados envolvem um número significativo de usuários afetados.
Impacto e lições de segurança
Este incidente destaca os riscos emergentes liés à integração de sistemas de inteligência artificial em processos críticos de segurança. Embora a Meta tenha identificado e corrigido a falha, o caso serve como alerta sobre a importância de auditorias rigorosas em código que lida com autenticação e recuperação de contas. Usuários devem continuar atentos a atividades suspeitas em suas redes sociais e considerar o uso de métodos adicionais de verificação sempre que disponíveis.
Fonte: https://www.theverge.com
