A Meta finalmente divulgou quantas contas do Instagram foram violadas depois que hackers enganaram seu chatbot de suporte com tecnologia de IA para ajudá-los a assumir o controle de contas.
A empresa de mídia social entrou com uma ação aviso de violação de dados com o gabinete do procurador-geral do Maine na sexta-feira, afirmando que 20.225 pessoas foram afetadas. Segundo o documento, a violação começou em 17 de abril e foi descoberta em 31 de maio.
Vários meios de comunicação relataram na semana passada que hackers conseguiram convencer o chatbot de suporte de IA da Meta a vincular endereços de e-mail que controlavam a contas do Instagram que não possuíam. Isso permitiu que os hackers redefinissem senhas e assumissem o controle das contas.
404 Mídia relatada que os ataques coincidiram com o hackeamento de uma série de contas importantes do Instagram, incluindo a conta da Casa Branca de Barack Obama, a conta do Sargento Chefe da Força Espacial dos EUA e a conta da empresa de maquiagem Sephora.
As violações ocorrem em meio à preocupação crescente de que a IA possa tornar os ataques cibernéticos mais rápidos e fáceis. O Google disse recentemente que hackers usaram IA para ajudar a descobrir uma vulnerabilidade de dia zero, o Pentágono está supostamente explorando modelos de IA com capacidade cibernética como arma, e pesquisadores alertaram que worms alimentados por IA podem se espalhar com pouco envolvimento humano. Mas os ataques ao Instagram mostram que o risco pode ser muito mais simples.
meta anunciado seu assistente de suporte de IA em março, dizendo que ajudaria os usuários a resolver problemas de conta, como redefinições de senha.
De acordo com relatórios anteriores, os hackers usaram VPNs para fazer parecer que estavam no mesmo país das contas que visavam. Eles então iniciaram uma redefinição de senha e pediram para conversar com o assistente de suporte de IA da Meta. A partir daí, eles pediram ao assistente para vincular seu próprio endereço de e-mail à conta do alvo.
O assistente de IA enviaria então um link de redefinição de senha para o e-mail do invasor. O invasor pode usar esse link para finalizar a redefinição de senha e obter acesso à conta. É importante notar que o ataque parece ter funcionado apenas em contas que não tinham a autenticação de dois fatores habilitada.
“A ferramenta em si funcionou corretamente e funcionou conforme o esperado; no entanto, devido a um bug em um caminho de código separado, o sistema não verificou adequadamente se o endereço de e-mail fornecido pelo indivíduo que solicitou uma redefinição de senha correspondia ao endereço de e-mail associado à conta do Instagram desse usuário”, escreveu Meta no aviso ao procurador-geral do Maine.
De acordo com o comunicado, a Meta disse desconhecer quais informações pessoais, se houver, foram realmente acessadas. Mas a empresa disse que os invasores podem ter conseguido acessar informações como informações de contato, datas de nascimento, informações de perfil, mensagens diretas, histórico de contas e informações de contas conectadas ou serviços vinculados.
“Corrigimos esse problema, protegemos as contas afetadas e restauramos o acesso dos indivíduos. Algumas de nossas verificações internas de back-end falharam neste caso, mas não foi devido ao próprio agente de IA, e abordamos a causa subjacente. Consistente com nossas obrigações, estamos notificando os reguladores sobre o problema e também notificaremos formalmente os indivíduos potencialmente afetados”, disse um porta-voz da Meta ao Gizmodo em comunicado enviado por e-mail.
A empresa acrescentou, no aviso de violação, que no mesmo dia em que a violação foi identificada, a empresa desativou a ferramenta de suporte assistida por IA, removeu o caminho do código vulnerável e invalidou os links de redefinição de senha existentes.
A empresa também disse que está conduzindo uma revisão de fluxos semelhantes de recuperação de contas nas plataformas Meta para procurar e corrigir vulnerabilidades semelhantes.
