O Instagram afirma ter corrigido uma falha que permitia a hackers enganar a ferramenta de suporte com inteligência artificial da plataforma para obter acesso às contas de outros utilizadores.
De acordo com relatos partilhados nas redes sociais, o chatbot de IA do Instagram terá permitido o “sequestro” de contas nos últimos dias. O problema envolvia o processo de recuperação de conta e, segundo as alegações, podia ser explorado para alterar o e-mail associado a perfis de terceiros.
A Meta diz que o problema já foi resolvido. Andy Stone, porta-voz da empresa, afirmou no X que a falha foi corrigida e que a empresa está a proteger as contas afetadas.
Como a falha podia ser explorada
Os relatos indicam que os atacantes podiam falsificar a sua localização recorrendo a uma VPN para simular que estavam no mesmo local do legítimo proprietário da conta.
Depois disso, procuravam o nome de utilizador da conta que queriam invadir no processo de recuperação do Instagram e recorriam ao assistente de suporte da Meta AI para pedir a associação de um novo e-mail, conforme reportou a BBC.
Segundo vídeos partilhados nas redes sociais, o bot enviava um código de verificação para o e-mail do atacante. Após a verificação, era enviado um link que permitia alterar a palavra-passe da conta. Na prática, isto podia permitir que uma pessoa sem acesso legítimo conseguisse assumir o controlo de uma conta do Instagram.
É possível conferir isto no vídeo abaixo:
Meta nega invasão de contas de líderes mundiais
A situação ganhou ainda mais atenção depois de surgirem alegações de que a vulnerabilidade teria sido usada para invadir contas de líderes mundiais. Andy Stone negou esta possibilidade e afirmou que essas alegações eram “totalmente falsas”.
Ainda assim, o caso coincidiu com uma série de invasões de contas de alto perfil no Instagram, segundo o portal 404media. Entre elas estaria uma conta verificada utilizada por Barack Obama quando era presidente dos Estados Unidos.
Essa conta terá publicado conteúdo pró-Irão antes de ser recuperada. Por enquanto, não se sabe quantas contas foram realmente afetadas pela exploração da falha.
Entre as pessoas que afirmaram ter sido atingidas está Jane Manchun Wong, investigadora de segurança e ex-funcionária da Meta. Wong afirmou no X que a sua palavra-passe do Instagram foi alterada sem o seu conhecimento e que recebeu várias tentativas de redefinição de palavra-passe ao longo do dia anterior.
Caso aumenta pressão sobre o suporte da Meta
O incidente surge num momento em que aumentam as preocupações sobre o impacto de sistemas de IA na segurança dos utilizadores. Também volta a expor críticas antigas ao suporte da Meta, especialmente em casos de contas invadidas ou suspensas por engano.
Um utilizador do X afirmou que não conseguiu encontrar “apoio humano” depois de a sua conta do Instagram ter sido invadida. A crítica resume bem o problema: uma IA pode ter facilitado o ataque, mas outra ferramenta automatizada não conseguiu resolver a situação.
A Meta tem sido criticada pela dificuldade em oferecer suporte direto aos utilizadores, como observa a BBC. Na União Europeia, um organismo independente que analisa reclamações de redes sociais afirmou recentemente que a empresa praticamente nunca responde a casos de pessoas que dizem ter sido banidas injustamente das suas contas.
Por agora, a empresa garante que a falha já foi resolvida. Ainda assim, o caso serve de alerta para o risco de automatizar processos sensíveis, como a recuperação de contas, sem mecanismos de verificação suficientemente robustos.
Vê também: Fraudes bancárias: estes são os golpes que tens de conhecer
