Hackers usaram o chatbot de suporte de IA da Meta para sequestrar contas do Instagram
Sequestros de contas do Instagram ligados ao bot de suporte de IA da Meta
Hackers vêm explorando o chatbot de suporte com IA da Meta para obter acesso a contas do Instagram, expondo um novo tipo de ataque que usa um assistente automatizado como parte do caminho de intrusão.
O Instagram disse na segunda-feira que havia corrigido uma falha de segurança depois que vários usuários relataram que suas contas haviam sido comprometidas no fim de semana. Postagens no Reddit e no X descreveram sequestros semelhantes, e as contas afetadas incluíam o perfil do Instagram da Casa Branca da era Obama, que parece estar inativo desde 2017, bem como a conta do sargento-mestre-chefe da U.S. Space Force, John Bentivegna.
A pesquisadora de segurança Jane Wong disse que sua conta também foi tomada. “A senha foi alterada sem meu conhecimento e eu estava recebendo diferentes tentativas de redefinição de senha ao longo de ontem,” disse Wong. “Bastante preocupante.”
Um vídeo postado no X parece mostrar o método usado nos ataques. Segundo o vídeo, o hacker primeiro usou uma VPN para falsificar a localização presumida do alvo, aparentemente para evitar acionar as proteções automatizadas do Instagram. O atacante então abriu um chat com o assistente de suporte de IA da Meta e pediu ao bot para adicionar um novo endereço de e-mail à conta da vítima.
O chatbot teria enviado um código de verificação para o endereço de e-mail do atacante, que então repassou o código de volta ao bot. Essa interação fez com que o chatbot exibisse um botão 'Redefinir senha', após o qual o atacante inseriu uma nova senha e assumiu a conta.
O TechCrunch conseguiu verificar que a caixa de e-mail pública do hacker, mostrada no vídeo, recebeu o código de verificação. O ataque não exigiu que o hacker assumisse o endereço de e-mail legítimo vinculado à conta do Instagram da vítima, tornando o caminho para o sequestro incomumente direto.
O porta-voz do Instagram Andy Stone disse em resposta a Wong e outros na segunda-feira que o problema havia sido corrigido. Ainda não está claro quantos usuários foram afetados. A Meta não respondeu imediatamente ao pedido de comentário do TechCrunch.
Fontes:
Leia mais notícias de tecnologia no Doppler VPN Blog.