Hackers exploraram uma vulnerabilidade no sistema de recuperação do Instagram da Meta, impulsionado por IA, para tomar conta de contas de alto perfil, incluindo o perfil arquivado da Casa Branca de Obama, ao abusar dos fluxos de trabalho automatizados de suporte usados para restaurar o acesso a contas bloqueadas. A Meta desde então corrigiu a falha e confirmou que as contas afetadas estão sendo protegidas.
De acordo com researchers vários relatórios de segurança, atacantes descobriram que podiam manipular o assistente de suporte de IA da Meta para modificar os detalhes da recuperação da conta sem passar nas verificações normais de verificação. Em alguns casos, o sistema supostamente permitia que atacantes anexassem um novo endereço de e-mail à conta do Instagram da vítima, criando um caminho para redefinir senhas e tomar o controle dos perfis.
Pesquisadores descreveram o problema como uma falha lógica no fluxo de trabalho automatizado de recuperação da Meta, e não como uma violação da infraestrutura de autenticação do Instagram. Os atacantes supostamente não precisavam de senhas, malware ou acesso direto aos sistemas Meta. Em vez disso, eles abusaram das fraquezas no próprio processo de suporte impulsionado pela IA.
Uma das vítimas mais visíveis foi a conta @obamawhitehouse Instagram, um perfil arquivado que preserva conteúdos do governo Obama. A conta exibiu brevemente postagens não autorizadas antes da Meta remover o conteúdo e restaurar o acesso. Relatos disseram que algumas das publicações faziam referência a temas políticos e sectários.
Pesquisadores disseram que outros alvos incluíam marcas corporativas, perfis de influenciadores, nomes raros de usuário “OG” e contas empresariais com grandes audiências. Vídeos compartilhados online supostamente demonstraram como atacantes poderiam explorar o fluxo de recuperação para controlar contas com nomes de usuário valiosos.
Os investigadores também encontraram evidências sugerindo que alguns atacantes usaram serviços de VPN e falsificaram dados de localização para tornar as solicitações de recuperação mais legítimas. Em certos casos, o assistente de IA teria aceitado informações limitadas da conta como prova suficiente de propriedade antes de processar mudanças sensíveis na conta.
Pesquisadores de segurança observaram que o exploit permitiu que atacantes burlassem algumas proteções de autenticação em dois fatores porque o ataque tinha como alvo o processo de recuperação da conta, e não o sistema de login em si. Uma vez que as informações de recuperação fossem alteradas, os atacantes podiam redefinir senhas e bloquear usuários legítimos de suas contas.
A Meta confirmou que a vulnerabilidade foi corrigida após relatos de aquisições de contas se espalharem online. A empresa afirmou que estava protegendo as contas afetadas e desativando o comportamento vulnerável de recuperação, mas não divulgou quantos usuários foram afetados ou por quanto tempo a falha permaneceu ativa antes de ser corrigida.