Rolf Vennenbernd/dpa - Arquivo
MADRID 10 jun. (Portaltic/EP) -
O número de contas do Instagram afetadas pela falha de segurança na inteligência artificial (IA) responsável pela redefinição de senhas da Meta, que inicialmente foi estimado em 20.000, subiu agora para 34.000 contas, embora a Meta continue apostando na utilização desse sistema.
Na semana passada, soube-se que uma falha no sistema de redefinição de senha da Meta permitiu usar o novo assistente de suporte de inteligência artificial da empresa, lançado oficialmente em março nos Estados Unidos e no Canadá, para roubar contas de Instagram de alto perfil, bastando pedir ao 'chatbot' que alterasse o endereço de e-mail associado à conta alvo.
Especificamente, o erro se deveu a um bug em uma rota de código independente, pelo qual o sistema não verificava se o endereço de e-mail fornecido coincidia com o endereço de e-mail associado à conta do Instagram daquele usuário, conforme explicou a própria Meta na ocasião.
Posteriormente, foi divulgado que o número total de usuários afetados por essa vulnerabilidade chegava a 20.225 e eram, justamente, todos aqueles que não tinham a autenticação de dois fatores (2FA) ativada em suas contas. Agora, de acordo com documentos internos aos quais o The New York Times teve acesso, soube-se que o número de contas afetadas pela mesma falha aumentou para um total de 34.000.
Os documentos também revelaram que, entre as 34.000 contas afetadas, estão a antiga conta de redes sociais da Casa Branca do ex-presidente Barack Obama e a da empresa de monitoramento de segurança residencial SimpliSafe. Além disso, o veículo de comunicação citado confirmou que cerca de 20.000 dessas contas foram violadas, com acesso a dados pessoais, incluindo endereço de e-mail, número de telefone e data de nascimento, entre outros.
Também foi apurado que os invasores chegaram a alterar o nome de usuário de 3.500 contas. Isso significa que o “handler” (nome de usuário) original ficou disponível e qualquer pessoa pôde registrá-lo imediatamente. Conforme lembrou o The New York Times, os “handlers” valiosos — aqueles curtos com milhões de seguidores — tornam-se um ativo muito lucrativo se forem revendidos a promotores de criptomoedas ou operadores políticos.
Além disso, é preciso levar em conta que, uma vez que alguém tenha utilizado o “handler”, recuperar a conta envolve muitas dificuldades, já que a Meta não pode devolver o nome de usuário porque ele agora pertence a outra conta e exige um processo mais trabalhoso do que uma simples redefinição de senha.
META APOSTA EM CONTINUAR UTILIZANDO SISTEMAS DE IA APESAR DESTA FALHA
Logo que esses incidentes vieram à tona, a empresa garantiu que a falha não se deveu ao assistente de IA em si, mas ao fato de que algumas das verificações internas de 'back-end' falharam. Da mesma forma, o porta-voz da Meta, Andy Stone, garantiu que já resolveram “a causa subjacente”.
Agora, o porta-voz da Meta continua defendendo esses sistemas, alegando que, graças aos novos programas de suporte impulsionados por IA, o número de usuários que conseguiram recuperar contas hackeadas nos Estados Unidos e no Canadá aumentou em 30% no ano passado, de acordo com declarações à mídia citada.
Além disso, de acordo com documentos internos, a Meta concordou, após o ataque, em “manter todos os produtos de IA ativos e apenas pausar o experimento em andamento (IG Forgot Password Chat)”.
Essa falha de segurança colocou em evidência os problemas enfrentados pelos agentes de IA, tal como aconteceu com o Salesloft Drift em agosto de 2025, incidente que afetou mais de 700 organizações, entre as quais se encontravam empresas de segurança cibernética como Cloudflare, Palo Alto Networks e Zscaler. De fato, a Cloudflare respondeu ao ocorrido com uma publicação em seu blog. Ao contrário do caso da Meta, a Salesloft desativou o Drift completamente.
Esta notícia foi traduzida por um tradutor automático