📸 Créditos da imagem: Unsplash
Uma falha crítica nos sistemas do Instagram permitiu que hackers enganassem o chatbot de suporte da Meta, concedendo acesso indevido a contas de personalidades e entidades importantes. O incidente expôs uma vulnerabilidade significativa no cerne dos esforços da empresa para automatizar tarefas de segurança e suporte.
A violação cibernética resultou na apropriação de diversas contas, incluindo a página inativa @obamawhitehouse, a conta da renomada varejista de produtos de beleza Sephora e o perfil de um funcionário sênior da Força Espacial dos Estados Unidos. Os invasores conseguiram persuadir o chatbot a redefinir as credenciais dessas contas sem realizar uma verificação independente das identidades dos solicitantes.
Especialistas em segurança digital apontaram que essa manipulação transformou uma ferramenta de segurança de alta confiança em um ponto fraco considerável. O episódio sublinha uma vulnerabilidade mais ampla no setor de tecnologia, onde sistemas de inteligência artificial recebem autoridade abrangente sobre funções críticas, como a recuperação de contas, mas permanecem suscetíveis a ataques conhecidos como “injeção de prompt”.
Para a Meta, esse contratempo surge em um momento delicado. A gigante das mídias sociais tem investido pesadamente em IA, com planos de aplicar até US$ 145 bilhões em infraestrutura de inteligência artificial e, simultaneamente, tem realizado demissões em massa. O incidente pode intensificar as preocupações de que a empresa tenha acelerado a automação de funções críticas antes que a tecnologia estivesse suficientemente madura para lidar com elas de forma segura.
A Meta declarou que o problema foi resolvido e que as contas afetadas estão sendo protegidas, mas recusou-se a fornecer detalhes adicionais sobre a natureza da falha ou a identidade dos hackers. O incidente já abalou investidores, que já estavam apreensivos com os altos gastos da empresa em IA, resultando em uma queda de mais de 5% nas ações da Meta.
Jane Wong, pesquisadora de segurança e ex-funcionária da Meta, que teve seus nomes de usuário do Instagram comprometidos, relatou que levou de 5 a 10 minutos para restabelecer suas contas. Ela descreveu em uma publicação que sua senha foi alterada sem seu conhecimento e que recebeu múltiplas solicitações de tentativa de redefinição, evidenciando a facilidade com que a invasão ocorreu.
“Essa é uma falha fundamental da arquitetura. O modelo recebeu ações privilegiadas sem controles de acesso privilegiados”, afirmou Brian Westnedge, vice-presidente de alianças e parcerias da empresa de segurança eletrônica Red Sift. Ele acrescentou que “a Meta tem enfrentado críticas constantes sobre a falta de suporte humano, fez grandes cortes na força de trabalho e está gastando bilhões em IA. Esse incidente está bem no meio de todos os três pontos.”
Hackers, IA e Segurança
Hackers não identificados executaram o ataque no fim de semana, bloqueando o acesso dos usuários às suas contas e gerando uma onda de reclamações em plataformas como X e Reddit. O chatbot de suporte, lançado em março, visava justamente resolver a antiga carência de suporte humano para usuários que perdem acesso às suas contas ou enfrentam penalidades equivocadas.
Uma investigação anterior, realizada em agosto, já havia revelado que a Meta não possuía barreiras eficazes para impedir que seus chatbots de IA tivessem conversas “sensuais” com crianças, oferecessem informações médicas incorretas ou se passassem por pessoas reais. Desde então, a empresa anunciou medidas para oferecer mais controle aos pais de adolescentes, visando evitar o acesso a conteúdo inadequado.
Analistas e especialistas alertam que o problema não se restringe à Meta. Eles preveem um aumento de explorações desse tipo, à medida que hackers transformam a inteligência artificial em uma arma. “A preocupação não é necessariamente a IA em si, mas se existem salvaguardas adequadas em torno do que a IA está autorizada a fazer”, disse Cliff Steinhauer, diretor de segurança da informação e engajamento da National Cybersecurity Alliance.
Desde o lançamento do ChatGPT no final de 2022, que impulsionou a corrida dos chatbots de IA, hackers têm explorado vulnerabilidades nesses sistemas. Em um caso notório, um invasor enganou o bot de uma concessionária Chevrolet nos Estados Unidos para que vendesse um utilitário esportivo Tahoe por apenas US$ 1.
“Não se trata de um problema específico da Meta. As pessoas estão usando esses agentes de IA para fazer muitas coisas. O que estamos vendo, na verdade, são problemas inesperados que estão surgindo com o uso da IA”, explicou Engin Kirda, professor do Departamento de Engenharia Elétrica e de Computação da Northeastern University. Ele concluiu: “No passado, as pessoas eram alvo de golpes. Agora, estamos vendo agentes sendo alvo de golpes”, referindo-se a agentes de IA ou assistentes digitais autônomos habilitados a realizar tarefas complexas.
📰 Leia a notícia completa em: UOL »