Sem invadir nada, hackers pediram à IA da Meta e levaram contas do Instagram

A Meta criou um assistente de suporte com inteligência artificial para cuidar do trabalho chato de recuperar contas, e em um único fim de semana as pessoas descobriram que dava para convencê-lo a entregar contas que não eram delas. Bastava pedir ao chatbot que adicionasse um novo e-mail a uma conta do Instagram e, em seguida, solicitar a troca de senha para que os invasores assumissem perfis que não lhes pertenciam, incluindo alguns protegidos por verificação em duas etapas. A ferramenta feita para devolver o acesso a uma conta bloqueada virou o caminho mais rápido para deixar o dono de fora.

O método era quase ofensivo de tão simples. O invasor usava primeiro uma VPN para fazer a conexão parecer vir da região da vítima, porque o fluxo de suporte da Meta tratava a localização como sinal de confiança. Depois abria uma conversa com o assistente e pedia que vinculasse à conta-alvo um e-mail sob seu controle. O bot enviava um código de verificação para esse novo endereço, o invasor colava o código de volta na conversa e o assistente respondia exibindo um botão para redefinir a senha. Uma senha nova depois, a conta trocava de mãos.

O que separa este caso de um roubo comum é que, na prática, nada foi arrombado. Não houve programa malicioso, nem um banco de dados de senhas vazado, nem uma página falsa imitando a tela de login. Foi a própria ferramenta de suporte da plataforma que fez o serviço, seguindo as instruções à risca. O invasor não derrotou a segurança do Instagram, apenas pediu com educação que ela saísse do caminho, e ela saiu.

É essa sequência que torna o episódio relevante para qualquer pessoa com login no Instagram. A verificação em duas etapas, a proteção que os especialistas pedem para ativar há uma década, não serviu de nada aqui. O invasor nunca precisou da senha da vítima, do celular dela ou de um código de aplicativo autenticador, porque o próprio agente de IA conseguia redefinir a senha sozinho. Quando um sistema de suporte pode anular todas as outras travas da porta, as travas deixam de valer muito.

As contas que mais chamaram atenção eram de alto perfil. Entre elas estava o perfil do Instagram ligado à Casa Branca da era Obama, inativo desde 2017, e a conta de John Bentivegna, sargento-mor da Força Espacial dos Estados Unidos. A pesquisadora de segurança Jane Wong, conhecida por vasculhar o código de aplicativos, viu a própria conta escapar. A senha mudou sem que ela soubesse, relatou, e durante um dia inteiro chegaram tentativas de redefinição enquanto o aplicativo a desconectava de novo e de novo. Usuários comuns descreveram a mesma coisa, embora a Meta não tenha dito quantos foram atingidos.

O episódio é menos uma falha em uma linha de código do que uma pergunta sobre o que esses agentes têm permissão de fazer. A Meta ampliou no início do ano o suporte movido a IA e deixou o assistente cuidar de trocas de senha e problemas de conta que antes exigiam uma pessoa ou um formulário rígido. Dar a um modelo de conversa autoridade sobre a recuperação de contas tirou o atrito para os usuários legítimos e, como se viu, para todo o resto também. Um atendente humano talvez tivesse hesitado diante de um estranho pedindo para mudar o e-mail de uma conta. O bot apenas seguiu o roteiro recebido.

A Meta diz que a brecha foi fechada, mas há motivos para conter o alívio. A empresa não revelou quantas contas foram tomadas antes da correção, o que deixa as vítimas sem ideia clara do estrago. Segundo a 404 Media, a técnica circulava no Telegram desde março, ou seja, a porta pode ter ficado aberta por semanas antes de vir a público. E o desenho por trás, confiar em uma localização que uma VPN falsifica e em um ciclo de e-mail totalmente controlado pelo invasor, aponta para um modelo de verificação frágil desde o começo.

Pesquisadores de segurança vêm alertando há algum tempo que agentes de IA ligados a sistemas reais abrem uma nova superfície de ataque, em que o exploit não é código malformado e sim um pedido convincente. Este é um dos primeiros casos em larga escala a provar isso com contas de consumo do dia a dia, e não com uma demonstração de laboratório. A manipulação não exigiu nenhuma habilidade técnica. Exigiu saber o que dizer, diante de um sistema feito para ser prestativo antes de ser desconfiado.

Por enquanto, o conselho prático é sem glamour. Quem notou e-mails inesperados de troca de senha ou desconexões repentinas no fim de semana deve checar quais endereços de e-mail e números de telefone estão ligados à conta e remover tudo o que não reconhecer. A verificação em duas etapas continua valendo a pena pelos muitos ataques que de fato barra, mesmo que neste não tenha feito diferença.

O porta-voz do Instagram, Andy Stone, confirmou na segunda-feira que o problema havia sido corrigido e que a empresa estava protegendo as contas afetadas. O que a Meta não respondeu é a pergunta de projeto maior que o próprio lançamento levantou nesta temporada: quanta autoridade um agente automatizado deve ter sobre as contas de bilhões de pessoas, e o que impede a próxima conversa de terminar do mesmo jeito.

Tags: segurança cibernética, meta