Hackers exploraram uma vulnerabilidade no assistente de suporte com inteligência artificial da Meta para invadir contas do Instagram, registradas ao menos desde o último fim de semana. Perfis comerciais e de personalidades com grande número de seguidores foram os principais alvos.
De acordo com relatos em redes sociais, os criminosos simulavam a localização das vítimas por meio de VPNs ou proxies e iniciavam um chat com o sistema de suporte da Meta. No diálogo, informavam o nome de usuário, solicitavam a troca do e-mail cadastrado e forneciam um endereço eletrônico sob seu controle.
Como funcionava o golpe
Após o pedido de mudança de e-mail, o assistente da Meta AI validava a solicitação sem qualquer confirmação paralela com o verdadeiro dono da conta. Em seguida, era enviado um código de oito dígitos ao e-mail do invasor, que, ao inseri-lo no chat, liberava a redefinição de senha. Mesmo perfis protegidos por autenticação de dois fatores foram comprometidos.
A Meta declarou ter corrigido a falha que permitia o envio de e-mails de redefinição de senha a terceiros, mas negou que seus sistemas tenham sido invadidos. Em publicação na rede social X, o porta-voz Andy Stone afirmou que perfis de autoridades mundiais não foram afetados.
Riscos do uso autônomo de IA
Especialistas do site The Cybersec Guru destacam que o incidente não envolveu invasão direta aos bancos de dados, mas falha no fluxo de suporte automatizado. Em alguns casos, o sistema de verificação de identidade chegou a exigir checagem biométrica, e os golpistas teriam recorrido a vídeos gerados por IA a partir de fotos das vítimas.
Imagem: Imagem ilustrativa
O incidente ocorre poucos meses após a Meta expandir o suporte automatizado para Facebook e Instagram, com o objetivo de acelerar processos de recuperação de conta. Contudo, a concessão de tantas permissões a sistemas de IA sem supervisão humana elevou o potencial de danos, contrariando recomendações do OWASP para que ações sensíveis não sejam executadas sem validação adicional.
O caso reforça a necessidade de supervisão humana em processos críticos de segurança e alerta empresas para os riscos de automação irrestrita.
Com informações de Tecnoblog
