Ferreira Manuel 
77
Mais de 20 mil contas do Instagram foram comprometidas após cibercriminosos explorarem uma vulnerabilidade numa ferramenta de recuperação de contas assistida assistida por inteligência artificial da Meta, confirmou a empresa liderada por Marck Zuckerberg.
De acordo com informações divulgadas pela Meta numa notificação de incidente apresentada junto das autoridades do estado norte-americano do Maine, a falha afectou 20.225 utilizadores e permitiu que terceiros obtivessem acesso não autorizado a contas da rede social sem necessidade de contornar mecanismos avançados de segurança.
A vulnerabilidade foi identificada no sistema High Touch Support (HTS), uma ferramenta baseada em inteligência artificial (IA) utilizada para auxiliar utilizadores que perderam acesso às suas contas do Instagram.
Segundo a Meta, os atacantes exploraram um erro num componente do processo de recuperação de contas que não validava correctamente se o endereço de correio electrónico indicado para a redefinição da palavra-passe correspondia efectivamente ao endereço associado à conta visada.
Como resultado, o sistema enviava links de redefinição de palavra-passe para endereços electrónicos não autorizados, permitindo que os atacantes assumissem o controlo das contas cujos proprietários não tinham activado a autenticação de dois factores (2FA).
A empresa afirmou que a ferramenta HTS funcionava conforme o previsto, mas um erro de programação num módulo separado comprometeu o processo de verificação dos pedidos de recuperação de contas.
Embora a Meta não tenha revelado exactamente quando a campanha começou, documentos publicados pelo Gabinete do Procurador-Geral do Maine indicam que a violação de segurança ocorreu a 17 de Abril deste ano, tendo sido detectada pela empresa apenas a 31 de Maio.
A tecnológica indicou não possuir evidências sobre quais informações foram efectivamente acedidas pelos atacantes. Ainda assim, admitiu que as contas comprometidas poderiam expor dados como endereços de correio electrónico, números de telefone, datas de nascimento, fotografias, vídeos, mensagens privadas, histórico de actividades, informações de perfil e eventuais serviços ligados às contas afectadas.
Após detectar o incidente, a Meta desactivou temporariamente o sistema HTS e invalidou todos os links de redefinição de palavra-passe gerados pela ferramenta. A empresa informou também que todas as contas potencialmente afectadas foram sujeitas a verificações de segurança obrigatórias e que os utilizadores receberam instruções para redefinir as respectivas palavras-passe e voltar a autenticar-se.
Num comentário publicado nas redes sociais, o vice-presidente de comunicação da Meta, Andy Stone, afirmou que o problema já foi corrigido e que as contas afectadas foram protegidas.
A empresa anunciou ainda que reforçará os mecanismos de validação dos processos de recuperação de contas antes de reactivar a ferramenta e realizar uma revisão abrangente de sistemas semelhantes existentes nas várias plataformas do grupo, numa tentativa de evitar incidentes da mesma natureza.
