O assistente de suporte de IA da Meta tem ajudado hackers a obter acesso a contas importantes do Instagram, de acordo com relatos nas redes sociais. Sem verificação, a Meta AI alteraria o endereço de e-mail associado a uma conta do Instagram, permitindo que a senha fosse atualizada.
Meta apresentou seu Assistente de suporte de IA em dezembro, com o objetivo de facilitar o acesso dos clientes ao suporte à conta 24 horas por dia, 7 dias por semana. Ele pode ser usado para denunciar golpes, obter informações sobre remoção de conteúdo e redefinir senhas. A última opção é o que os malfeitores conseguiram explorar.
A vulnerabilidade do Instagram apareceu em mídia social no fim de semana, com manifestações das etapas simples executadas para obter acesso a uma conta. Em uma demonstraçãoum hacker pede ao bot de suporte do Meta para alterar o endereço de e-mail vinculado a uma conta alvo do Instagram, e a IA faz isso sem questionar.
O suporte do Meta não realizou uma verificação de identidade robusta e, em alguns casos, parece que contornou a autenticação de dois fatores. Tudo o que foi necessário foi uma conexão VPN definida para um native próximo à conta de destino, o que é trivial. Meta parecia estar verificando a propriedade da conta com base na localização. “Nossos sistemas reconhecem o dispositivo que você costuma usar e locais familiares melhor do que nunca”, diz a postagem do weblog da Meta sobre seu agente de suporte de IA. Em alguns casos, os usuários foram solicitados a verificar sua identidade com uma selfieque foi contornado usando IA.
Por um curto período de tempo, a exploração ficou disponível ao público e as apropriações de contas aumentaram. Um pesquisador de segurança disse que os canais do Telegram que oferecem serviços do Instagram no mercado negro “ganharam muito $$$” com a IA da Meta. 404 Mídia disse que os hackers estão cientes da exploração desde março.
A Meta corrigiu o problema no fim de semana e hoje, o vice-presidente de comunicações da Meta, Andy Stone disse o problema foi corrigido. Meta agora está “protegendo as contas afetadas”.
Informações sobre o vetor de ataque do Instagram surgem depois que hackers conseguiram assumir contas para a Sephora, o sargento-chefe da Força Espacial, a pesquisadora Jane Manchun Wong, o desenvolvedor Albert Renshaw, dono de @albert, e a conta arquivada da Casa Branca de Barack Obama. Vários outros usuários com identificadores desejáveis no Instagram relataram ter suas contas roubadas.
Alguns usuários que tiveram suas contas roubadas no fim de semana não conseguiram usar a IA para recuperá-las e não houve opção de falar com um humano para obter ajuda.
