Pedir com jeitinho é o melhor jeito de conseguir algo – inclusive a senha do Instagram oficial do governo Obama.
Foi assim que hackers invadiram mais de 20 mil contas do Instagram. Uma brecha de segurança no chatbot de suporte da própria Meta permitia que eles usassem seus próprios emails para resetar a senha de outras contas. Eles convenciam o assistente de IA a lhes enviar o link de redefinição, trocavam a senha e assumiam o controle.
Entre as vítimas, estão a conta governamental do ex-presidente Barack Obama (não seu perfil pessoal), do sargento-chefe da Força Espacial dos EUA, da marca de cosméticos Sephora e de uma especialista em segurança ex-funcionária da Meta, conforme o site 404 Media.
Postagens de hackers e pesquisadores de segurança cibernética circularam nas redes sociais no começo de junho, a maioria na forma de vídeos do Telegram. Eles mostravam como era surpreendentemente fácil enganar o chatbot da Meta.
O acesso à conta envolve um atendimento com o assistente de suporte da Meta AI. Os hackers usam uma VPN para fingirem estar na área geográfica do proprietário da conta alvo, contornando as proteções automáticas da conta.
Primeiro, eles pediram ao assistente de suporte de IA da Meta para adicionar um novo endereço de e-mail ao perfil. O bot, então, enviava um código para o email do hacker.
Com o código, o invasor solicitava uma redefinição de senha, que o bot enviava para o novo e-mail. O hacker completava o procedimento, trocava a senha e assumia o controle da conta.
A Meta disse que resolveu o bug e que o bot não vai mais facilitar as coisas para os hackers. Andy Stone, vice-presidente de comunicações da Meta, se posicionou sobre o assunto em um post no X (antigo Twitter), afirmando que o problema “foi resolvido e estamos protegendo as contas afetadas”.
Ludibriando o bot
Apesar de já resolvida, a brecha chamou atenção para o nível de poder que o chatbot da Meta AI possui, e levantou dúvidas sobre o quanto se deve depender de IA para medidas essenciais de segurança.
A Meta atribuiu a falha de segurança a um bug que permitia aos usuários comprometer contas que eles não tinham acesso. Em uma carta sobre a violação de dados, a conselheira jurídica associada da Meta para resposta a incidentes, Amber Hannah, descreveu a situação.
“A ferramenta em si funcionou corretamente e conforme o esperado; no entanto, devido a um bug em um trecho de código separado, o sistema não verificou corretamente se o endereço de email fornecido pela pessoa que solicitava a redefinição de senha correspondia ao endereço de email associado à conta do Instagram desse usuário”.
Hannah ainda afirmou que, quando uma pessoa mandava um email não associado à conta, o procedimento correto do chatbot seria rejeitar a solicitação. Não foi o que aconteceu. Aceitar um email diferente do vinculado “permitiu que terceiros não autorizados recebessem um link de redefinição de senha para contas que não lhes pertenciam.”
A Meta não soube dizer se algum dado pessoal foi vazado como resultado da invasão, mas observa que os hackers podem ter obtido endereços de e-mail, números de telefone, datas de nascimento, publicações em redes sociais, mensagens diretas, informações de perfil, atividades da conta e contas conectadas.
Depois do incidente, a empresa desativou sua ferramenta de suporte de IA e removeu o trecho de código com falha. Ela também invalidou todos os links de redefinição de senha gerados pela brecha e incluiu todas as contas potencialmente afetadas em um processo de segurança obrigatório que exige autenticação antes de qualquer acesso.
Fonte ==> Você SA
