A ampla campanha de hackers que consistia simplesmente em pedir ao chatbot da Meta AI para assumir o controle da conta do Instagram da vítima parece ter continuado mesmo depois que a empresa disse que o problema havia sido resolvido. Enquanto isso, a empresa tem lutado para proteger as contas visadas e alertar as vítimas.
No fim de semana, hackers alegaram estar explorando o chatbot de suporte de IA da Meta para assumir o controle de várias contas importantes do Instagram. Ao mesmo tempo, um grande número de pessoas reclamou nas redes sociais que suas contas do Instagram foram hackeadas, algumas delas com perfis de usuário curtos e exclusivos.
O TechCrunch viu exemplos de identificadores supostamente hackeados com nomes próprios comuns ou nomes de países, que podem ser revendidos quase como itens colecionáveis em um mercado cinza para os chamados “identificadores OG”. Outras vítimas da onda de hackers pareciam estar adormecidas Casa Branca de Obama conta (que Meta contestou) e a conta do sargento-chefe da Força Espacial dos EUA João Bentivegna.
Esses ataques foram tão simples que chamá-los de hacks pode dar muito crédito às pessoas por trás deles, ao mesmo tempo em que não atribui culpa suficiente ao Meta por não impedir que ataques rudimentares sequestrem as contas das pessoas.
Os hackers simplesmente disseram ao chatbot de IA da Meta que eles eram os proprietários da conta do alvo e pediram ao bot para vincular a conta dessa pessoa a um e-mail que eles controlavam. O chatbot atendeu à solicitação, permitindo que o hacker redefinisse a senha da conta alvo e assumisse o controle da conta – em alguns casos, bloqueando o acesso das vítimas. Em nenhum momento os funcionários ou prestadores de serviços da Meta estiveram envolvidos no bate-papo.
Na segunda-feira, o porta-voz da Meta, Andy Stone disse que “o problema que aconteceu já foi corrigido”.
Na terça-feira, porém, mais Instagram Usuários alegaram ter suas contas hackeadas.
Ao mesmo tempo, o TechCrunch viu discussões entre membros de um canal do Telegram onde a técnica de hacking foi divulgada, que alegaram ainda ser capazes de explorar o chatbot de IA da Meta, e eles estavam anunciando identificadores aparentemente hackeados para venda, inclusive no momento em que o TechCrunch foi escrito. (É importante observar que é difícil saber com certeza se todas essas contas foram hackeadas devido à mesma técnica.)
Contate-nos
Você tem mais informações sobre esses hacks do Instagram? Adoraríamos ouvir de você. A partir de um dispositivo e rede que não sejam de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
Mais tarde postar no XStone disse: “Algumas pessoas podem receber notificações de redefinição de senha e algumas podem receber perguntas de segurança quando tentam fazer login em suas contas”.
Stone disse ao TechCrunch por e-mail que Meta protegeu as contas afetadas na segunda-feira e começou a enviar e-mails de redefinição de senha. Quando questionado pelo TechCrunch, Stone não disse quantos usuários foram hackeados.
Várias pessoas relataram que o Meta começou a notificar os usuários de que eles estavam sendo alvos.
Vítimas publicamente relataram ter recebido e-mails do Instagram avisando que a empresa “detectou alguma atividade suspeita que sugere que seu Instagram pode ter sido comprometido”. A mensagem dizia ainda que a empresa tomou medidas para proteger a conta e pediu ao usuário que redefinisse sua senha.
Como 404 Mídia anotadameta anunciado em março, que estava implementando IA para automatizar seu suporte aos usuários, dizendo que o chatbot com tecnologia de IA foi “projetado para resolver problemas de conta do início ao fim” e teria a capacidade de “redefinir sua senha com segurança”. Isso sugere que o chatbot pode realizar ações que anteriormente exigiam a participação de um humano, dada a sua importância.
Durante anos, houve um mercado florescente onde hackers roubaram e depois venderam nomes de usuário “OG”, referindo-se aos nomes de usuário e identificadores usados pelos primeiros usuários do Instagram. No passado, porém, assumir o controle dessas contas exigia estratégias mais complexas, como fazer phishing na vítima, assumir o controle de seu número de telefone ou subornar pessoas internas de provedores de telecomunicações.
Aqui, os hackers acabaram de perguntar, e o chatbot do Meta obedeceu obedientemente.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
