Há pouco mais de uma semana, o assistente de bate-papo baseado em IA da Meta deu involuntariamente aos hackers acesso a milhares de contas do Instagram, incluindo contas de alto perfil, como a varejista de maquiagem Sephora e a alto suboficial da Força Espacial dos EUAassim como Conta de Barack Obama na Casa Branca.
O número exato foi posteriormente revelado em um arquivamento regulatório com o gabinete do procurador-geral do Maine. O whole é de 20.225 contas comprometidas (30 das quais eram residentes do Maine).
O hack, relatado pela 404 mídia na semana passada, foi fácil agir contra titulares de contas que não ativaram a autenticação de dois fatores. Os hackers simplesmente pediram ao bot com tecnologia de IA para alterar o endereço de e-mail de uma conta direcionada para o seu próprio. Assim que isso foi concedido, os hackers solicitaram uma redefinição de senha, solicitando que a IA enviasse um código para seu endereço de e-mail pessoal. Depois que os hackers verificaram a redefinição da senha, eles conseguiram assumir o controle da conta.
Um passo a passo editado vídeo do processo até apareceu no X, mostrando como os hackers usei uma VPN para fazer parecer que estavam no native do alvo. Em nenhum momento os hackers precisaram do endereço de e-mail ou da senha unique do usuário.
Em um carta de notificação de incidente ao procurador-geral do Maine, Aaron Frey, datado de 5 de junho, Meta reconheceu “uma vulnerabilidade no sistema de recuperação de contas assistido por IA para Instagram… que foi explorado por terceiros não autorizados para realizar redefinições de senha em contas de usuários do Instagram”.
Depois que a exploração se tornou pública, muitos usuários do Instagram relataram Reddit e X que suas contas foram hackeadas, embora a extensão do hack não estivesse clara na época. Um porta-voz da Meta postado em X que a exploração foi corrigida em 1º de junho, emblem após os relatórios iniciais.
Como a IA deixou o hack acontecer?
O problema se deve quase inteiramente ao suporte ao cliente da Meta agora administrado pela IA. O gigante da tecnologia fiz a troca em março, dizendo que permitiria “ajuda 24 horas por dia, 7 dias por semana para problemas de conta, como atualização de senha e configurações de perfil”.
Mas com o chatbot de IA cuidando de todo o processo, os humanos não poderiam intervir quando atividades suspeitas começassem. Isso permitiu que hackers realizassem o ataque no estilo de engenharia social e o executassem várias vezes antes que alguém percebesse.
As contas afetadas foram desconectadas à força para todos os usuários e os endereços de e-mail foram restaurados. Os usuários foram então instruídos a redefinir suas senhas e autenticar novamente seus logins. Meta diz que assim que as contas estiverem seguras, um segundo aviso será enviado para lembrar as pessoas de ativar a autenticação de dois fatores para evitar ataques futuros.
Meta ainda não respondeu a um pedido de comentário.
Como se proteger de ataques semelhantes
A exploração de engenharia social tinha uma limitação importante: não funcionava em contas com autenticação multifator. Essas contas já tinham o código no aplicativo de autenticação de sua escolha ou o receberam por mensagem de texto. Sem a configuração de MFA, o código de redefinição único parece ser enviado para um endereço de e-mail de sua escolha, permitindo assim que os hackers o obtenham.
A melhor forma de se proteger é habilitar a autenticação multifator, que está disponível em todas as plataformas Meta. Isto não irá protegê-lo 100% do tempomas é muito melhor do que uma senha por si só e teria protegido totalmente contra essa exploração específica.
Existem outras coisas que você pode fazer para reforçar a segurança da containcluindo o uso de chaves de acesso, quando disponíveis, e um endereço de e-mail privado para dificultar a localização das credenciais da sua conta.
