MADRID 2 jun. (Portaltic/EP) -
A Meta corrigiu uma falha que permitia usar o novo assistente de suporte com inteligência artificial (IA) da Meta para roubar contas de Instagram de alto perfil, bastando pedir ao 'chatbot' que alterasse o endereço de e-mail associado à conta alvo.
A Meta lançou em dezembro passado a prévia de seu novo assistente de IA para dar suporte aos usuários que desejavam recuperar suas contas por meio de um processo simples e mais rápido após terem sido bloqueadas no Facebook e no Instagram. Em março, foi lançada a versão final com o lançamento oficial da ferramenta, que está disponível desde então nos Estados Unidos e no Canadá.
No último fim de semana, vários pesquisadores de segurança compartilharam no X (antigo Twitter) como tinha sido fácil roubar as credenciais das contas de usuários do Instagram por meio do novo assistente de IA da Meta, já que ele não verificava nem a identidade nem a autenticação multifatorial, caso estivesse ativada.
Os hackers descobriram que o chatbot da Meta baseava a confirmação da conta na localização do usuário; assim, tudo o que precisaram fazer foi usar uma VPN para demonstrar à IA que seu endereço físico correspondia ao do usuário, concluindo assim o processo de roubo da conta.
Além disso, a exploração envolvia uma série de passos simples. Em uma conversa com o 'chat' de suporte de IA da Meta, ao solicitar que vinculasse a conta alvo a um novo endereço de e-mail, a IA enviava um código de oito dígitos para o endereço de e-mail fornecido pelo hacker.
Assim que o 'hacker' inseria esse código, recebia um e-mail com a redefinição de senha, o que lhe dava acesso direto à conta.
O surgimento dessa vulnerabilidade coincide com uma série de comportamentos estranhos em certas contas do Instagram, como a do ex-presidente dos Estados Unidos Barack Obama, da Casa Branca, a do Chefe do Estado-Maior da Força Espacial ou a conta da Sephora.
A Meta já resolveu o problema. “O problema foi resolvido e estamos protegendo as contas afetadas”, escreveu nesta segunda-feira o vice-presidente de Comunicações da Meta, Andy Stone, em sua conta no X.
A empresa não forneceu informações adicionais sobre o ocorrido, e não se sabe o número de contas que podem ter sido afetadas, mas, segundo a 404 Media, vários usuários vinham alertando sobre a vulnerabilidade no Telegram desde março.
Esta notícia foi traduzida por um tradutor automático