A Meta finalmente revelou a dimensão de um incidente de segurança que vinha chamando atenção nas últimas semanas.
Segundo um comunicado enviado às autoridades do estado do Maine, nos Estados Unidos, 20.225 usuários do Instagram tiveram suas contas comprometidas depois que criminosos exploraram uma vulnerabilidade relacionada ao assistente de suporte alimentado por inteligência artificial da empresa.
O ataque começou em 17 de abril e só foi identificado oficialmente em 31 de maio.
Como os hackers conseguiram assumir contas legítimas
O esquema não envolvia invasões sofisticadas nem quebra de senhas por força bruta.
De acordo com as investigações, os criminosos utilizavam redes privadas virtuais (VPNs) para aparentar estar localizados no mesmo país das vítimas.
Em seguida, iniciavam um processo de redefinição de senha e entravam em contato com o assistente virtual de suporte da Meta, lançado em março para ajudar usuários a resolver problemas de acesso às suas contas.
Durante a conversa, os invasores convenciam o sistema a vincular um endereço de e-mail sob seu controle à conta que pretendiam roubar.
Depois disso, bastava solicitar uma redefinição de senha.
Como o novo endereço de e-mail já estava associado ao perfil, o link de recuperação era enviado diretamente aos criminosos, permitindo que eles assumissem o controle da conta.
Contas famosas também foram afetadas
Segundo reportagens publicadas pelo site 404 Media, diversos perfis de grande visibilidade foram alvo dos ataques.
Entre eles estavam a conta da Casa Branca durante o governo de Barack Obama, o perfil do Chefe Mestre Sargento da Força Espacial dos Estados Unidos e a conta oficial da empresa de cosméticos Sephora.
Os relatos aumentaram a preocupação sobre os riscos associados à automação de processos sensíveis por sistemas de inteligência artificial.
A IA foi a culpada?
Curiosamente, a Meta afirma que não.
Segundo a empresa, o problema não ocorreu porque o assistente virtual tomou uma decisão errada por conta própria.
Em sua explicação oficial, a companhia afirmou que o chatbot funcionou conforme projetado. O verdadeiro problema estava em um caminho específico do sistema que não verificava corretamente se o e-mail fornecido durante a recuperação correspondia ao endereço originalmente associado à conta.
Em outras palavras, a IA foi utilizada como parte da cadeia de exploração, mas a vulnerabilidade teria sido causada por uma falha de validação em outro componente do sistema.
Quais dados podem ter sido acessados
A Meta afirma que ainda não sabe exatamente quais informações foram visualizadas pelos invasores.
Mesmo assim, a empresa reconhece que os criminosos podem ter obtido acesso a diversos tipos de dados, incluindo:
- Informações de contato;
- Data de nascimento;
- Dados do perfil;
- Mensagens diretas;
- Histórico da conta;
- Informações provenientes de contas conectadas ou serviços vinculados.
Um detalhe importante é que os ataques aparentemente só funcionaram contra contas que não possuíam autenticação em dois fatores ativada.
Esse mecanismo adiciona uma camada extra de segurança e poderia ter impedido a tomada de controle mesmo após a redefinição da senha.
O que a Meta fez para conter o problema
A empresa informou que, no mesmo dia em que identificou a vulnerabilidade, desativou a ferramenta de suporte assistida por IA envolvida no incidente.
Além disso, removeu o código vulnerável e invalidou todos os links ativos de redefinição de senha.
Segundo a Meta, as contas afetadas foram protegidas novamente e os usuários começaram a recuperar o acesso aos seus perfis.
A companhia também iniciou uma revisão abrangente dos sistemas de recuperação de contas utilizados em outras plataformas do grupo para identificar possíveis falhas semelhantes.
Um alerta para a nova era da cibersegurança
O incidente ocorre em um momento em que especialistas demonstram crescente preocupação sobre o uso da inteligência artificial em ataques cibernéticos.
Recentemente, o Google revelou que criminosos utilizaram IA para ajudar na descoberta de uma vulnerabilidade do tipo zero-day. Relatórios também indicam que pesquisadores estudam cenários em que malwares alimentados por inteligência artificial poderiam se espalhar com mínima intervenção humana.
No caso do Instagram, porém, a lição parece mais simples.
A ameaça não surgiu porque uma inteligência artificial ficou poderosa demais. Ela surgiu porque uma falha aparentemente pequena em um sistema automatizado acabou abrindo caminho para que milhares de contas fossem comprometidas.
E isso mostra que, na era da IA, erros básicos de validação continuam sendo tão perigosos quanto as ameaças mais sofisticadas.
