2026-06-01 00:00
← VoltarAs contas do Instagram da Casa Branca de Obama e do sargento-chefe da Força Espacial dos EUA foram brevemente desfiguradas com imagens e mensagens pró-iranianas no fim de semana, depois que instruções começaram a circular no Telegram mostrando como enganar o bot “assistente de suporte de IA” da Meta para redefinir senhas de contas. Em 31 de maio, começou a se espalhar em vários canais de mensagens instantâneas do Telegram que o bot de IA da Meta adicionaria alegremente um endereço de e-mail a uma conta existente como parte do fluxo padrão de redefinição de senha do bot. Um vídeo divulgado no Telegram por hackers pró-Irã alegou documentar uma exploração extremamente simples que parece ter envolvido o uso de uma conexão VPN com um endereço IP que está na cidade natal habitual do alvo ou próximo a ela, solicitando uma redefinição de senha para a conta e, em seguida, escolhendo conversar com o assistente de suporte de IA do Meta. A partir daí, o vídeo mostra que o invasor disse ao bot para vincular a conta em questão a um novo endereço de e-mail, após o que o bot obedientemente enviou a esse endereço um código único que permitiu uma redefinição de senha. A conta do Telegram que postou o vídeo também vinculava capturas de tela de imagens, vídeos e mensagens pró-Irã que desfiguraram as contas hackeadas do Instagram, dizendo que os hackers usaram a exploração para sequestrar uma série de nomes valiosos (leia-se: curtos) de contas do Instagram que supostamente têm um valor de...
As contas do Instagram da Casa Branca de Obama e do sargento-chefe da Força Espacial dos EUA foram brevemente desfiguradas com imagens e mensagens pró-iranianas no fim de semana, depois que instruções começaram a circular no Telegram mostrando como enganar o bot “assistente de suporte de IA” da Meta para redefinir senhas de contas. Em 31 de maio, começou a se espalhar em vários canais de mensagens instantâneas do Telegram que o bot de IA da Meta adicionaria alegremente um endereço de e-mail a uma conta existente como parte do fluxo padrão de redefinição de senha do bot. Um vídeo divulgado no Telegram por hackers pró-Irã alegou documentar uma exploração extremamente simples que parece ter envolvido o uso de uma conexão VPN com um endereço IP que está na cidade natal habitual do alvo ou próximo a ela, solicitando uma redefinição de senha para a conta e, em seguida, escolhendo conversar com o assistente de suporte de IA do Meta. A partir daí, o vídeo mostra que o invasor disse ao bot para vincular a conta em questão a um novo endereço de e-mail, após o que o bot obedientemente enviou a esse endereço um código único que permitiu uma redefinição de senha. A conta do Telegram que postou o vídeo também vinculava capturas de tela de imagens, vídeos e mensagens pró-Irã que desfiguraram as contas hackeadas do Instagram, dizendo que os hackers usaram a exploração para sequestrar uma série de nomes valiosos (leia-se: curtos) de contas do Instagram que supostamente têm um valor de revenda de mais de meio milhão de dólares. A Meta não respondeu aos pedidos de comentários sobre as reivindicações do vídeo, mas Andy Stone da Meta disse no Twitter/X que o problema foi resolvido e que eles estavam protegendo as contas afetadas. O blog de segurança thecybersecguru.com relata que o Meta lançou um patch de emergência no fim de semana e esclareceu que nenhum banco de dados back-end foi violado. “O Instagram tem uma infraestrutura de suporte humano notoriamente pobre”, escreveu Cybersecguru.
"Recuperar uma conta bloqueada - especialmente uma de alto valor pode levar semanas de idas e vindas com um sistema de tickets automatizado. A solução da Meta foi implantar uma camada de IA conversacional para lidar com fluxos de trabalho de recuperação comuns: vincular novamente um endereço de e-mail perdido, acionar uma redefinição de senha, verificar a propriedade da conta. O assistente, presumivelmente, deveria reduzir o atrito para usuários legítimos presos no inferno de acesso à conta." Ian Goldin, pesquisador de ameaças do Black Lotus Labs da Lumen, disse que estamos entrando em um território de segurança desconhecido à medida que mais grandes plataformas online começam a permitir que chatbots de IA lidem com solicitações confidenciais de recuperação de contas. Assim como os funcionários humanos de suporte ao cliente podem ser projetados socialmente para fornecer acesso não autorizado à conta de alguém, os bots de IA estão igualmente ansiosos para ajudar e vulneráveis à persuasão e trapaça, disse ele. “Os chatbots de IA criam uma nova superfície de ataque interessante e provavelmente veremos muito mais desses tipos de ataques”, disse Goldin. Proteger suas diversas contas online significa aproveitar ao máximo a forma mais segura de autenticação multifator (MFA) oferecida (como uma chave de acesso ou chave de segurança). Nesse caso, mesmo usando a forma menos robusta de MFA que o Instagram oferece – um código único enviado via SMS – provavelmente teria bloqueado a exploração: os hackers que divulgaram o vídeo no Telegram disseram que sua exploração não funcionou em nenhuma conta que tivesse MFA habilitado.