Nesta segunda-feira (08), o site The Verge publicou que um conjunto de ataques explorou uma falha em um sistema automatizado de suporte da Meta, responsável pelo Instagram, permitindo o possível sequestro de cerca de 20,2 mil contas. A ação teria sido conduzida por hackers ao manipular o fluxo de redefinição de senha do serviço.
O problema ocorreu porque o sistema de atendimento baseado em inteligência artificial não validou corretamente se o e-mail informado para recuperação pertencia de fato ao titular da conta. A falha abriu espaço para que links de redefinição fossem enviados a endereços externos às contas originais.
Segundo registro citado em notificação enviada ao estado do Maine e divulgado em 8 de junho, a falha foi identificada após ter sido explorada em 31 de maio e corrigida pela empresa em 1º de junho.
Para quem tem pressa:
- Uma falha no suporte automatizado do Instagram permitiu que hackers redirecionassem links de recuperação de senha para e-mails indevidos;
- Cerca de 20,2 mil contas podem ter sido afetadas entre o fim de maio e o início de junho, segundo registro oficial citado;
- A Meta corrigiu o problema rapidamente e reforçou medidas de verificação para evitar novos acessos não autorizados.
Falha em sistema de suporte automatizado expôs contas do Instagram
A empresa responsável pelo Instagram informou que um erro em um caminho de código do seu sistema de suporte automatizado com inteligência artificial foi o ponto de entrada da exploração. O mecanismo, usado para auxiliar usuários, acabou aceitando solicitações de redefinição de senha sem confirmar adequadamente a correspondência entre o e-mail informado e o cadastro original da conta.
O serviço afetado opera como um chatbot de atendimento, integrado ao suporte da plataforma, responsável por automatizar interações com usuários em demandas de recuperação de acesso e segurança. Nesse fluxo, a falha se manifestou sem que houvesse verificação consistente entre identidade e credenciais associadas.
De acordo com a Meta, o comportamento indevido não estava no funcionamento geral da ferramenta de IA, mas em uma validação específica de segurança. Essa brecha fez com que links de recuperação fossem enviados a endereços não vinculados às contas, permitindo que terceiros pudessem assumir o controle de perfis sem necessidade de autenticação em dois fatores.
A companhia afirmou, em notificação citada no material original, que o ataque atingiu aproximadamente 20.225 contas, incluindo perfis de figuras conhecidas. Entre os exemplos mencionados estavam a conta antiga da Casa Branca no Instagram, um perfil ligado à Força Espacial dos Estados Unidos e a empresa de cosméticos Sephora.
Leia mais:
- Instagram agora identifica contas que produzem conteúdo com IA
- Como funciona a conta de adolescentes no Instagram?
- Instagram aperta o cerco contra contas de repost; entenda a mudança
O incidente foi detectado no dia 31 de maio e solucionado no dia seguinte, conforme informou um porta-voz da empresa identificado no texto-base como responsável pela comunicação oficial. Durante esse intervalo, a falha teria permitido o envio de links de redefinição indevidos.
Além disso, a empresa declarou que desativou o trecho de código afetado e invalidou links gerados de forma irregular. Também determinou a aplicação de uma verificação obrigatória de segurança para contas possivelmente impactadas.
Embora a Meta tenha afirmado não ter confirmação sobre acesso a dados pessoais, o relatório aponta que informações como e-mails, números de telefone, datas de nascimento, mensagens e atividade de contas poderiam ter sido expostas.
O post Bug em chatbot da Meta é explorado e possibilita invasão de mais de 20 mil contas no Instagram apareceu primeiro em Olhar Digital.
