Meta confirma 20.225 contas do Instagram roubadas via falha em ferramenta de IA de suporte

A Meta confirmou em notificação à procuradora-geral do Maine que 20.225 contas do Instagram foram roubadas por meio de uma vulnerabilidade na ferramenta de recuperação de conta assistida por IA, em campanha iniciada em 17 de abril. A falha estava no 'High Touch Support': ao receber um endereço de email não associado à conta-alvo, o sistema mandava o link de redefinição de senha para esse email estranho em vez de rejeitar a requisição.

Quem usou o link entrou em qualquer conta que não tivesse autenticação em dois fatores, com acesso a mensagens privadas, dados de perfil e posts. A Meta descobriu o bug em 31 de maio, desativou a ferramenta, invalidou os links explorados e inscreveu as contas afetadas em um checkpoint obrigatório de segurança com redefinição de senha. A empresa diz ainda estar revisando os demais chatbots em suas plataformas atrás de falhas semelhantes.