O chatbot de suporte deveria ajudar os usuários do Instagram a recuperar o acesso às suas contas – mas faz o oposto. Isso dá a qualquer pessoa acesso a contas inseguras do Instagram, como a empresa revelou agora. Cerca de 20.000 contas foram afetadas. Basicamente, qualquer conta que não tenha a autenticação de dois fatores habilitada está em risco.
Leia mais depois do anúncio
Isso dá ao invasor acesso a todas as informações armazenadas na conta, como data de nascimento, mensagens pessoais, fotos, etc. O acesso a outras metacontas vinculadas, como no Facebook, também é possível.
Chatbots abrem a porta para contas de terceiros
Vídeo em Como você pode ver no vídeo, o único outro requisito é uma conexão VPN através da área geográfica aproximada do alvo para não levantar suspeitas do Meta.
O aplicativo então se oferece para enviar um código de redefinição de senha para o endereço de e-mail que você fornecer. Em vez disso, o invasor clicou em “Obter suporte” no canto superior esquerdo para entrar no chatbot AI do Meta. Eles agora pedem aos usuários que enviem um código de redefinição para um novo endereço de e-mail para que possam se conectar diretamente à “sua” conta – ou à pessoa alvo. O chatbot rapidamente faz o que manda, o invasor envia o código recebido para o chatbot e pode então alterar a senha da conta para obter acesso.
Negocie o cobiçado nome de usuário
O procurador-geral do estado americano do Maine publicou um relatório Meta sobre a violação de segurança. Foram afetadas 20.225 contas, cujos direitos ainda precisam ser notificados. A 404 Media relata que vários pesquisadores de segurança alertaram sobre o golpe nas últimas semanas. Nomes de usuário especialmente populares se tornaram uma mercadoria nos círculos cibercriminosos. Nos grupos relevantes do Telegram, são compartilhadas listas de preços com nomes de usuário, que, por exemplo, incluem algumas letras ou palavras úteis, e podem ser obtidas por meio de um golpe.
A falha de segurança ocorreu ao mesmo tempo que o hackeamento de contas famosas do Instagram, como a conta oficial de Barack Obama durante seu mandato como presidente dos EUA. John Bentivegna, um membro sênior da Força Espacial dos EUA, também foi recentemente vítima de hackers iranianos com uma conta no Instagram.
Leia mais depois do anúncio
Esse problema só pode ser resolvido pelo novo “AI Support Assistant” da Meta, anunciado em março. Com isso, a empresa delegou completamente tarefas importantes à inteligência artificial e prometeu “ajuda confiável 24 horas por dia no Facebook e Instagram – rápida, eficaz e projetada para resolver problemas de contas do início ao fim”. Paradoxalmente, o assistente também tem como objetivo ajudar aqueles cujas contas foram hackeadas. A lacuna foi agora colmatada, relatam alguns investigadores de segurança. Um porta-voz também confirmou isso à 404 Media. Diz-se que foi um erro de programação. A Meta está adotando uma abordagem muito agressiva no uso de IA e também vinculando as avaliações de desempenho dos funcionários ao uso de IA. Não se sabe se os desenvolvedores do “AI Support Assistant” também usam IA e o tipo de censura Meta que fazem para isso.
Leia também
(não)
