Vários usuários do Instagram tiveram suas contas invadidas depois que atacantes convenceram as ferramentas de suporte da Meta, baseadas em IA, de que eram os legítimos proprietários.
Em muitos casos, as vítimas não conseguem recuperar o acesso porque a plataforma recorre a um atendimento automatizado, limitado a ciclos com IA e chatbots, sem intervenção de agentes humanos.
Na segunda-feira, diversos donos de contas raras e de alto valor relataram ter perdido o acesso de forma repentina.
Eles afirmam que suas identidades já haviam sido verificadas por reconhecimento facial e que também tinham ativado proteções como a autenticação em dois fatores (2FA).
Entre as contas afetadas estavam uma usada anteriormente pela equipe da Casa Branca de Obama, uma pertencente à pesquisadora de aplicativos Jane Manchun Wong, além de @hey e @korn.
O dono da conta @korn, que observou que a banda nunca reivindicou oficialmente essa conta e usa outra, demonstrou frustração com o mecanismo de recuperação da Meta, que o deixou preso em um ciclo improdutivo.
“Passei 6 horas tentando conseguir atendimento humano, e a IA de suporte da Meta me deu 4 links quebrados seguidos”, explicou o usuário identificado como Kornel.
“Chegamos ao ponto em que uma IA roubou a conta e outra não consegue consertar.
Não há humanos em lugar nenhum”, disse o dono da conta @korn.
Segundo alguns relatos, o ataque de sequestro de contas foi banal.
A ação envolvia conversar com a assistente de IA da Meta, convencê-la de que o atacante era o verdadeiro dono da conta e induzi-la a alterar o endereço de e-mail associado.
O processo de tomada da conta começa quando o threat actor aciona o protocolo de “esqueci a senha” sob a alegação de que a conta foi invadida.
Quando a assistência com IA do Instagram solicita a verificação com uma selfie, o atacante usa uma foto retirada da conta-alvo, passa a imagem por um gerador de vídeo com IA para transformá-la em uma animação e a envia à Meta para verificação.
O usuário André afirma que “a IA da Meta simplesmente aceita, porque não consegue distinguir entre uma selfie real e um vídeo gerado por IA com o rosto de alguém”.
Ele também acrescenta que o método de tomada da conta contorna as proteções da 2FA.
“Depois, você tenta recuperar sua conta e fala com um chatbot que não tem nenhuma capacidade de ajudar.
Não dá para escalar para um humano.
Você fica travado.
Seu ativo foi perdido e não há ninguém para ligar”, disse André.
Alguns relatos afirmam que os atacantes usaram serviços de VPN para parecer que estavam conectados a partir da região habitual da vítima, driblando verificações de geolocalização que poderiam acionar um fluxo de login mais complexo e seguro.
Depois de alterar o endereço de e-mail, o atacante podia iniciar uma redefinição de senha e receber o código de segurança necessário para acessar a conta.
Alguns relatos online afirmam que as contas de um único caractere @e e @f no Instagram foram obtidas por meio de um exploit ativo.
No entanto, outros contestam essa informação e argumentam que os nomes de usuário foram protegidos por uma pessoa com privilégios internos.
Como contas de redes sociais com apenas um caractere são extremamente raras, elas têm alto valor no mercado negro, normalmente na casa das dezenas de milhares de dólares.
Embora a Meta ainda não tenha publicado um comunicado oficial sobre o caso, o vice-presidente de comunicações da empresa, Andy Stone, respondeu nas redes sociais a um usuário afetado dizendo que o “problema foi resolvido e estamos protegendo as contas impactadas”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...