Fabian Sommer/dpa - Arquivo
MADRID 8 jun. (Portaltic/EP) -
Mais de 20.000 usuários do Instagram tiveram suas contas roubadas devido aos ataques perpetrados contra o sistema de suporte baseado em inteligência artificial (IA) para a redefinição de senhas do Instagram e do Facebook, que vieram à tona na semana passada.
Na semana passada, soube-se que uma falha permitiu usar o novo assistente de suporte de inteligência artificial da Meta para roubar contas de Instagram de alto perfil, solicitando ao 'chatbot' que alterasse o endereço de e-mail associado à conta alvo.
Em uma carta de notificação de incidentes enviada ao procurador-geral dos Estados Unidos, Aaron Frey, pela conselheira geral associada e responsável legal pela Resposta a Incidentes da Meta, Amber Hannah, a empresa confirmou que até “30 usuários do Instagram no Maine” foram afetados por essa violação.
De fato, na carta de notificação, pode-se ler que o incidente ocorreu em 17 de abril, que seria justamente a data do primeiro ataque recebido utilizando essa falha de segurança no novo programa de suporte com IA lançado pela Meta em dezembro do ano passado.
A Meta mencionou que não possui informações sobre os dados pessoais aos quais se teve acesso ou que foram roubados, mas afirma que os invasores poderiam ter obtido acesso a informações de contato, datas de nascimento, publicações na rede social e seu conteúdo, bem como a mensagens diretas, à atividade da conta e às contas e serviços conectados.
O Bleeping Computer informa que o número total de usuários afetados por essa violação chega a 20.225 e são, justamente, todos aqueles que não tinham a autenticação de dois fatores (2FA) ativada em suas contas.
Hannah afirmou na carta que “a ferramenta funcionava corretamente, mas que, devido a um bug em uma rota de código independente, o sistema não verificava se o endereço de e-mail fornecido correspondia ao endereço de e-mail associado à conta do Instagram daquele usuário”.
Na semana passada, foi revelado que os invasores se aproveitaram do fato de o sistema HTS (High Touch Support) não verificar se os endereços de e-mail estavam associados às contas do Instagram visadas, conseguindo assim os links de redefinição de senha que lhes permitiram sequestrar as contas que não tinham a autenticação de dois fatores (2FA) ativada.
O vice-presidente de Comunicações da Meta, Andy Stone, usou sua conta no X (antigo Twitter) para responder a uma das pessoas afetadas, afirmando que o problema já havia sido resolvido e que estavam protegendo as contas afetadas.
O próximo passo da Meta foi desativar o serviço de suporte HTS impulsionado por IA e todos os links de redefinição de senha que haviam sido gerados para evitar possíveis roubos de contas como parte da campanha realizada pelos invasores.
A Meta planeja relançar o serviço, mas não sem antes corrigir o sistema de autenticação para garantir uma verificação adequada antes de prosseguir com a redefinição de senha.
Esta notícia foi traduzida por um tradutor automático