Uma falha de segurança aparentemente relacionada ao chatbot de suporte alimentado por IA da Meta teria permitido acessos não autorizados a contas no Instagram durante o fim de semana, conforme relatos no Reddit e no X, nesta segunda-feira (1º). Perfis de grande visibilidade e audiência estariam entre os maiores alvos. Ao Techcrunch, a Meta diz que resolveu o problema — o TecMundo também entrou em contato com a empresa e espera um posicionamento.
Entre as contas invadidas a partir da exploração deste bug estariam os perfis da Casa Branca utilizado no mandato do ex-presidente dos Estados Unidos, Barack Obama, do sargento-chefe da Força Espacial dos EUA, John Bentinvegna, e da Sephora, conforme o site 404 Media. O problema já teria corrigido pela empresa.
Enganando o bot de suporte
Como relata a reportagem, o acesso não autorizado às contas de alto perfil no Instagram envolve iniciar um atendimento com o bot de suporte do Instagram. O hacker estaria usando VPN para mascarar a localização da vítima e evitar o acionamento das proteções automáticas da conta na rede social.
- Durante a interação com o chatbot, ele pede ao assistente de suporte da Meta AI para vincular um novo endereço de email ao perfil da vítima;
- Na sequência, a IA envia o código de verificação para o email fornecido e ele é colado na janela de conversa com o bot;
- Logo após, a tecnologia disponibiliza o botão “Redefinir senha” para que a pessoa cadastre uma nova senha naquela conta;
- Ao final, a senha atualizada é confirmada e o invasor assume o controle da conta, como mostram vídeos que circulam no X.
A pesquisadora de segurança Jane Wong afirmou que a sua conta no Instagram estava entre os alvos, tendo a senha alterada indevidamente. Ela diz que recebeu vários alertas de tentativas de redefinição de senha no app da rede social para iOS e teve a conta deslogada.
Para solucionar o problema, a especialista comentou que fez logout imediatamente de todos os dispositivos associados à sua conta quando as notificações dispararam. Depois, ela fez a redefinição de senha usando o email associado ao perfil, que não foi comprometido.
O que diz a Meta?
Respondendo às postagens de Wong e outros usuários no X, o porta-voz da Meta, Andy Stone, disse que “o problema que ocorreu já foi resolvido”, como noticiou o TechCrunch. No entanto, não está claro se ele se referia à falha no bot de suporte ou outros erros citados nos comentários.
Ele também não forneceu informações sobre o bug nem revelou a quantidade de usuários que tiveram seus perfis acessados indevidamente. O TecMundo entrou em contato com a Meta e aguarda o posicionamento da big tech sobre o caso.
No mês passado, o Instagram e as demais plataformas da gigante da tecnologia começaram a oferecer assinaturas pagas com benefícios exclusivos.