Hackers sequestraram contas de alto perfil do Instagram simplesmente pedindo ao chatbot de IA da Meta para alterar o e-mail.

Hackers sequestraram contas de alto perfil no Instagram ao solicitar que o chatbot de IA da Meta alterasse o e-mail

Hackers invadiram contas de destaque no Instagram pedindo ao chatbot de suporte por IA da Meta que alterasse o endereço de e-mail cadastrado. A autenticação de dois fatores foi completamente burlada. Entre os alvos estavam a conta da Casa Branca Obama, o Chefe Mestre Sargento da Força Espacial dos EUA e a rede de cosméticos Sephora.

Além disso, nomes de usuário curtos e muito cobiçados passaram de mãos em poucos minutos e foram revendidos no Telegram. Esses identificadores, compostos por poucas letras ou palavras comuns, podem alcançar valores de seis dígitos no mercado paralelo. Pesquisadores que monitoram crimes com criptomoedas e mercados clandestinos documentaram publicamente as consequências, indicando que dois desses nomes compromissados teriam um valor de mercado combinado superior a US$ 1 milhão.

O método foi surpreendentemente simples. Os invasores utilizaram uma VPN para se posicionar na região geográfica da conta-alvo, iniciaram o processo de redefinição de senha e, em seguida, instruíram o assistente de suporte por IA a atualizar o endereço de e-mail da conta, prometendo enviar imediatamente o código de confirmação. O bot enviou, então, um código de confirmação de oito dígitos para o endereço de e-mail do invasor, seguido por um link para a redefinição de senha. Quando o mecanismo automatizado de verificação de identidade da Meta foi ativado, os invasores contornaram a proteção ao submeter as fotos públicas do Instagram da vítima em geradores de vídeo com IA, produzindo clipes de selfies realistas que enganaram os sistemas de segurança automatizados.

Um exemplo clássico de “confused deputy”

O incidente é considerado um exemplo clássico de um problema bem conhecido em segurança da informação, denominado confused deputy (deputado confuso). Nesse cenário, um sistema auxiliar possui mais privilégios do que o usuário real, sendo manipulado pelo invasor para exercer essas vantagens em seu próprio benefício. O assistente de IA tinha permissão para trocar e-mails e redefinir senhas, ações que um usuário comum do Instagram não consegue acionar diretamente. Assim, qualquer pessoa que solicitasse tais ações de maneira adequada poderia fazê-las sem sequer estar logada na conta.

No cerne do problema, está a injeção de comandos por meio de prompt, que pode ter consequências bastante onerosas. O modelo de linguagem não consegue diferenciar de forma confiável entre um pedido inofensivo e uma instrução maliciosa, já que ambos são tratados como texto. Em comparação com a injeção de SQL, onde entradas podem ser erroneamente interpretadas como comandos, o SQL pode ser protegido com regras claras. Já um modelo de linguagem não possui uma separação nítida entre dados e instruções.

Por esse motivo, para etapas irreversíveis como a redefinição de senha, deveria existir uma verificação inegociável, como o envio de um código de confirmação para o e-mail originalmente cadastrado ou uma notificação push para um dispositivo previamente verificado. Essa medida de segurança ausente permitiu que o caminho da API acessada pela IA fosse explorado pelos invasores.

Quando o suporte deixa de ser uma pessoa

Em março, a Meta anunciou a implementação de suporte por IA para todas as contas do Facebook e do Instagram, abrangendo inclusive a redefinição de senha e manutenções relacionadas à segurança. Na divulgação do produto, a empresa enfatizava soluções concretas, acompanhadas de recursos para segurança e recuperação de contas. Em um post, a Meta posicionava a IA como uma defesa contra invasões, destacando sua capacidade de identificar alterações suspeitas de localização e trocas de senha. No entanto, esse mesmo recurso acabou se tornando uma porta de entrada para os ataques.

Usuários afetados relataram que não conseguiram contatar um atendente humano através dos canais convencionais de suporte. Qualquer tentativa de contestar oficialmente uma conta roubada era encaminhada para um processo manual de revisão, que, segundo especialistas, poderia levar dias em vez de minutos. Enquanto uma conta comprometida já era revendida no Telegram, o processo de recuperação se arrastava por tempo demais.

A correção contorna uma variante, mas não resolve o problema

A onda de invasões de alto nível teve início na sexta-feira, 29 de maio. Na mesma noite, a Meta lançou uma correção emergencial, desativando os fluxos de IA vulneráveis que permitiam a alteração de e-mail e a redefinição de senhas. A empresa confirmou publicamente, em comunicado à imprensa, que o problema havia sido resolvido e que as contas afetadas estavam sendo protegidas. Contudo, especialistas apontam que o método subjacente vinha sendo utilizado discretamente há meses, com a primeira menção remontando ao final de março em canais do Telegram.

A Meta rejeitou a caracterização do incidente como uma violação de dados, afirmando que não houve acesso não autorizado aos seus sistemas e que as contas dos usuários permaneciam seguras. Apesar disso, para um usuário que perde um nome de usuário valioso da noite para o dia, a diferença entre um banco de dados íntegro e uma conta roubada é meramente formal. Uma falha de lógica que viabiliza invasões em larga escala representa, sem dúvida, uma quebra de confiança, mesmo que nenhuma alteração seja registrada na base de dados.

Além disso, há relatos de outra possível exploração, ainda não corrigida no momento da publicação e que já circulava no Telegram. Esse método aparentemente atua por meio do fluxo de recuperação do Facebook, no qual invasores conseguem induzir a IA da Meta a ativar um modo de desenvolvimento, acompanhando a solicitação com supostas evidências de comprometimento da conta e um endereço de e-mail.