A Meta informou que aproximadamente 20 mil contas do Instagram podem ter sido comprometidas após hackers explorarem uma vulnerabilidade na ferramenta de recuperação de contas assistida por IA, de acordo com comunicado enviado ao procurador-geral do Maine e reportado pela SecurityWeek. A falha do tipo “deputado confuso” permitiu que invasores pedissem ao chatbot que vinculasse um novo endereço de e-mail a contas de alto perfil, informou a SecurityWeek em 2 de junho. O assistente de IA da Meta tinha acesso a sistemas de gerenciamento de contas e, devido a um bug em um caminho de código separado, o sistema não verificou corretamente se o e-mail fornecido correspondia ao associado à conta, explicou a associada-geral da Meta, Amber Hannah, no documento oficial.
Ataque afetou contas da Casa Branca e da Força Espacial dos EUA
Os hackers comprometeram contas de alto perfil, incluindo o handle da Casa Branca de Obama, da Sephora e do sargento-mor da Força Espacial dos EUA, John Bentivegna, segundo a SecurityWeek. Para contornar as proteções de detecção de fraude da Meta, os invasores usaram VPNs para aparecer como se estivessem na localização geográfica da vítima. Quando o chatbot solicitava uma selfie para verificar a propriedade da conta, os atacantes modificavam fotos das vítimas usando ferramentas de IA e enviavam as imagens alteradas, conforme a publicação.
A brecha ocorreu em 17 de abril, mas foi descoberta apenas em 31 de maio, de acordo com o documento enviado ao Maine. A Meta desativou a ferramenta abusada e a reativará somente após garantir que a vulnerabilidade foi corrigida, afirmou Hannah. Os links de redefinição de senha gerados pela exploração da vulnerabilidade foram invalidados, e as contas afetadas foram inscritas em um checkpoint de segurança obrigatório, com suas senhas redefinidas.
