- hackers usaram o assistente de suporte com IA da Meta para alterar o e-mail vinculado a contas do Instagram, recebendo códigos de confirmação e redefinindo senhas.
- ataques, registrados desde o último fim de semana, atingiram perfis comerciais e figuras públicas com grande número de seguidores; contas invadidas teriam sido vendidas no Telegram.
- a Meta informou ter corrigido a falha que permitia solicitar e-mails de redefinição, mas negou invasão aos seus sistemas e que perfis de autoridades mundiais tenham sido afetados.
- segundo relatos, os invasores utilizavam VPN ou proxy para simular localização, pediam troca de e-mail via chat da IA e recebiam o código de confirmação no e-mail do atacante.
- analistas afirmam que o ponto não foi a invasão direta aos bancos de dados, e sim uma falha no fluxo de suporte; em alguns casos, houve checagem biométrica com vídeos gerados por IA.
O que aconteceu
Hackers conseguiram assumir contas no Instagram ao explorar o assistente de suporte com IA da Meta. Os ataques teriam ocorrido desde o último fim de semana, atingindo perfis comerciais e figuras públicas com grande número de seguidores. Os golpistas usaram a ferramenta de suporte para alterar o e-mail vinculado às contas e receber códigos de verificação.
Segundo relatos no X, a tática envolveu a simulação de localização por VPN ou proxy, seguida de contato com o chatbot de IA para solicitar a troca de e-mail. Com o novo endereço controlado pelo atacante, o código de confirmação era recebido e a senha era redefinida, abrindo acesso mesmo a contas com autenticação de dois fatores.
Perfis visados eram, em sua maioria, de usuários com termos curtos nos nomes ou de contas oficiais, e a venda dos dados invadidos teria ocorrido via Telegram. A depender do caso, houve uso de videoprovas geradas por IA para contornar checagens de identidade.
Posicionamento da Meta
A Meta disse ter corrigido a falha que permitia solicitar e-mails de redefinição, mas negou invasão aos seus sistemas. Em resposta a uma publicação no X, o porta-voz Andy Stone afirmou que perfis de autoridades globais não teriam sido atingidos.
Análise de especialistas
Para analistas consultados pelo The Cybersec Guru, o risco não esteve na invasão direta a bancos de dados, mas no fluxo de suporte. Em alguns casos, a verificação utilizou biometria, e houve relatos de uso de vídeos gerados por IA com imagens das vítimas.
Contexto técnico
Relatos indicam que a sequência envolve abrir chat com o assistente de suporte, informar o usuário alvo, apresentar um novo e-mail de controle, prometer envio de código e confirmar a redefinição de senha. Não houve necessidade de contraprova adicional para muitos casos, segundo as informações divulgadas.
Variantes e impactos
O episódio reacende debates sobre o uso de IA no suporte ao usuário. A Meta expandiu o uso de IA para contas do Facebook e Instagram, visando agilizar recuperações, mas o episódio evidencia vulnerabilidades em fluxos de atendimento automatizados.
Medidas de segurança
Especialistas destacam a importância de validações humanas em ações sensíveis. O OWASP recomenda supervisão e validação humana em operações críticas de IA. A Meta afirma que ajustou o fluxo de recuperação para evitar abusos futuros.
Entre na conversa da comunidade