A Meta confirmou uma falha de segurança em um sistema automatizado de atendimento baseado em inteligência artificial que acabou comprometendo a segurança de mais de 20 mil contas do Instagram.
Segundo a companhia, a vulnerabilidade permitiu que invasores interceptassem links de redefinição de senha e os redirecionassem para endereços de e-mail controlados por criminosos, abrindo caminho para o acesso indevido aos perfis.
O problema foi identificado em um relatório encaminhado ao gabinete do Procurador-Geral do estado do Maine, nos Estados Unidos, com a Meta informando que a falha foi detectada em 31 de maio.
O incidente envolveu o sistema chamado High Touch Support (HTS), uma plataforma assistida por inteligência artificial usada para automatizar processos de recuperação de contas e suporte a usuários da rede social.
De acordo com a empresa, uma falha em uma linha de código paralela impediu que o sistema verificasse se o e-mail informado no pedido de recuperação correspondia ao endereço originalmente cadastrado pelo usuário. Com isso, o fluxo automatizado acabou aceitando solicitações fraudulentas.
Na prática, o chatbot responsável pelo atendimento concluiu o processo de redefinição e enviou o link de acesso para o e-mail informado pelo invasor, sem acionar camadas adicionais de segurança, como autenticação em duas etapas ou confirmação por senha anterior.
O método passou a circular em grupos cibercriminosos dentro da própria plataforma, o que ampliou o risco de exploração da falha em larga escala.
Apesar disso, a Meta afirma que não há evidências concretas de roubo massivo de dados, embora admita que a possibilidade de exfiltração de informações seja considerada real, já que o acesso indevido poderia permitir visualização de conteúdos pessoais.
Entre os dados potencialmente expostos estariam informações de contato, datas de nascimento, publicações, arquivos de mídia e mensagens privadas.
Como resposta imediata, a empresa desativou o sistema HTS e determinou a redefinição obrigatória de senhas para todas as contas possivelmente afetadas. Os usuários também foram direcionados para um processo reforçado de reautenticação de identidade.
A Meta informou ainda que o sistema permanecerá fora do ar até que mecanismos mais rígidos de verificação de e-mail sejam incorporados ao processo de recuperação de contas. Paralelamente, uma auditoria interna foi aberta para revisar outros fluxos automatizados de suporte dentro do grupo.
No Brasil, o Instagram passou a oferecer recentemente o plano pago Instagram Plus, com novos recursos e assinatura opcional para usuários, ampliando o conjunto de serviços da plataforma no país. E mais: Câmara deve votar acordo Mercosul–EFTA; Saiba mais sobre o bloco comercial. Clique AQUI para ver. (Foto: PixaBay; Fonte: CanalTech)