O Instagram alertou os usuários que foram hackeados pelo bot de IA Meta.

Um ataque hacker em larga escala, no qual invasores assumiram o controle de contas do Instagram simplesmente consultando o chatbot Meta✴AI, continuou mesmo após a empresa anunciar uma solução. Enquanto isso, a administração da plataforma iniciou esforços para proteger essas contas e notificar as vítimas.

Fonte da imagem: Priscilla Du Preez / unsplash.com

No último fim de semana, cibercriminosos revelaram como sequestram páginas populares do Instagram✴ por meio do chatbot de suporte da Meta✴AI. Proprietários de contas com nomes de usuário curtos e exclusivos relataram o problema. O acesso a essas páginas é vendido no mercado paralelo como itens colecionáveis. O ataque é tão simples que dificilmente pode ser chamado de hack. O hacker informa ao chatbot que é o proprietário da conta da vítima e pede que ele vincule a conta ao seu endereço de e-mail. A IA atende à solicitação e o invasor só precisa redefinir a senha para obter o controle da página, enquanto o acesso da vítima é bloqueado. Nenhum funcionário ou contratado da Meta✴ esteve envolvido no esquema.

Na segunda-feira, 1º de junho, o porta-voz da Meta✴, Andy Stone, afirmou que “o problema ocorrido já foi resolvido”. Mas, no dia seguinte, as reclamações sobre invasões de contas só aumentaram. “Algumas pessoas podem receber notificações de redefinição de senha e outras podem ser questionadas sobre segurança ao tentar fazer login”, alertou Stone posteriormente. A Meta✴ tomou medidas para proteger as contas afetadas já em 1º de junho, insistiu em um e-mail para o TechCrunch, mas não especificou quantas contas foram hackeadas.

A Meta✴ começou a implementar um chatbot de IA em sua seção de suporte em março — o sistema recebeu algumas das funcionalidades tradicionalmente exclusivas de humanos, incluindo a capacidade de “redefinir senhas com segurança”. O mercado de apelidos “antigos”, ou nomes curtos para páginas do Instagram, está em expansão há anos. Mas, anteriormente, o hackeamento dessas páginas era feito por hackers.Esforços mais sérios eram necessários: phishing, interceptação de números de telefone ou suborno de funcionários. Nesse caso, a IA obedientemente fez todo o trabalho.