Uma falha em uma ferramenta de suporte baseada em inteligência artificial da Meta permitiu que hackers acessassem cerca de 20 mil contas do Instagram sem autorização. A empresa informou que o problema afetou 20.225 perfis e afirmou que corrigiu o incidente após identificar o incidente.
Segundo informações, os criminosos exploraram uma brecha de um sistema automatizado de recuperação de contas.
A falha permitia que o chatbot enviasse links para redefinição de senha a endereços de e-mail que não pertenciam aos donos legítimos dos perfis.
Com isso, invasores conseguiam alterar credenciais de acesso e assumir o controle de contas que não utilizavam autenticação em dois fatores, também permitia que criminosos burlassem verificações de segurança que deveriam impedir alterações não autorizadas.
Falha atingiu perfis de grande visibilidade
Entre os perfis comprometidos estavam contas conhecidas nos Estados Unidos, como a antiga página da Casa Branca durante o governo de Barack Obama, a rede de cosméticos Sephora e integrantes da Força Espacial norte-americana.
Segundo especialistas em segurança digital, os invasores utilizaram uma técnica conhecida como “prompt injection”.
Nesse tipo de ataque, criminosos manipulam comandos enviados aos sistemas de inteligência artificial para induzir respostas ou ações que os desenvolvedores não previram.
Além disso, pesquisadores alertaram que o crescimento do uso de IA em plataformas digitais pode ampliar a exposição a vulnerabilidades semelhantes.
Meta desativou sistema vulnerável
A Meta informou que identificou a falha em 31 de maio e concluiu a correção no dia seguinte e além disso, a empresa desativou a ferramenta afetada e invalidou todos os links de recuperação gerados durante o período de risco.
Ao mesmo tempo, equipes de segurança iniciaram procedimentos para proteger as contas potencialmente comprometidas.
Segundo a companhia, não há evidências de acesso em larga escala a informações pessoais dos usuários.
Ainda assim, a Meta reconheceu que invasores podem ter obtido dados como endereços de e-mail, números de telefone, mensagens privadas e informações de perfil em alguns casos.
Empresa reforça recomendações de segurança
Após o incidente, a Meta orientou os usuários a ativarem a autenticação em dois fatores e revisarem as configurações de segurança das contas.
Além disso, especialistas recomendam o uso de senhas exclusivas para cada serviço e a atualização periódica das credenciais de acesso.
Dessa forma, os usuários reduzem significativamente o risco de invasões mesmo em situações que envolvam falhas de sistemas.
Enquanto isso, a empresa continua monitorando possíveis impactos do incidente e mantém a investigação aberta para identificar todas as contas afetadas pela vulnerabilidade.
