Bastou pedir à IA da Meta para a conta de Instagram mudar de mãos

A Meta criou um assistente de apoio com inteligência artificial para tratar do trabalho fastidioso de recuperar contas, e durante um fim de semana os utilizadores perceberam que o conseguiam convencer a ceder contas alheias. Bastava pedir ao chatbot que associasse um novo endereço de correio a uma conta de Instagram e depois solicitar a alteração da palavra-passe para que os atacantes ficassem com perfis que não eram seus, incluindo alguns protegidos por verificação em dois passos. A ferramenta pensada para devolver o acesso a uma conta bloqueada tornou-se a via mais rápida para deixar o legítimo dono de fora.

O método era quase insultuosamente simples. O atacante usava primeiro uma VPN para que a ligação parecesse vir da zona da vítima, porque o fluxo de apoio da Meta assentava na localização como sinal de confiança. A seguir abria uma conversa com o assistente e pedia-lhe que ligasse à conta-alvo um endereço de correio sob o seu controlo. O bot enviava um código de verificação para esse novo endereço, o atacante colava o código de volta na conversa e o assistente respondia mostrando um botão para repor a palavra-passe. Uma palavra-passe nova depois, a conta mudava de mãos.

O que distingue este caso de um roubo de conta vulgar é que, na verdade, nada foi forçado. Não houve software malicioso, nem uma base de dados de credenciais divulgada, nem uma página falsa disfarçada de ecrã de início de sessão. Foi a própria ferramenta de apoio da plataforma que fez o trabalho, seguindo as instruções à letra. O atacante não venceu a segurança do Instagram, apenas lhe pediu com cortesia que se afastasse, e ela afastou-se.

É esta sequência que torna o incidente relevante para qualquer pessoa com uma conta no Instagram. A verificação em dois passos, a proteção que os especialistas há uma década recomendam ativar, não serviu de nada aqui. O atacante nunca precisou da palavra-passe da vítima, do telemóvel dela ou de um código de uma aplicação de autenticação, porque o próprio agente de IA conseguia repor a palavra-passe sozinho. Quando um sistema de apoio consegue anular todos os outros fechos da porta, os fechos deixam de contar.

As contas que mais atenção atraíram eram de alto perfil. Entre elas estava o perfil de Instagram ligado à Casa Branca da era Obama, inativo desde 2017, e a conta de John Bentivegna, sargento-mor da Força Espacial dos Estados Unidos. A investigadora de segurança Jane Wong, conhecida por dissecar o código das aplicações, viu a própria conta escapar-lhe. A palavra-passe mudou sem que ela soubesse, relatou, e durante um dia inteiro recebeu tentativas de reposição enquanto a aplicação a expulsava vezes sem conta. Utilizadores comuns descreveram o mesmo, ainda que a Meta não tenha dito quantos foram afetados.

O episódio é menos uma falha numa linha de código do que uma pergunta sobre o que se permite a estes agentes. A Meta alargou no início do ano o apoio assente em IA e deixou o assistente gerir alterações de palavra-passe e problemas de conta que antes exigiam uma pessoa ou um formulário rígido. Dar a um modelo de conversação autoridade sobre a recuperação de contas eliminou o atrito para os utilizadores legítimos e, como se viu, para todos os outros também. Um agente humano talvez tivesse hesitado perante um desconhecido a pedir para mudar o correio de uma conta. O bot limitou-se a seguir o guião que lhe deram.

A Meta garante que a falha está fechada, mas há motivos para moderar o alívio. A empresa não revelou quantas contas foram tomadas antes da correção, o que deixa as vítimas sem uma noção clara do dano. Segundo a 404 Media, a técnica circulava no Telegram desde março, pelo que a porta pode ter estado aberta durante semanas antes de vir a público. E o desenho de base, confiar numa localização que uma VPN falsifica e num circuito de correio totalmente controlado pelo atacante, aponta para um modelo de verificação frágil desde o início.

Os investigadores de segurança avisam há algum tempo que os agentes de IA ligados a sistemas reais abrem uma nova superfície de ataque, em que o exploit não é código malformado mas um pedido convincente. Este é um dos primeiros casos em grande escala a prová-lo com contas de consumo do quotidiano e não com uma demonstração de laboratório. A manipulação não exigiu qualquer perícia técnica. Exigiu saber o que dizer, perante um sistema construído para ser prestável antes de ser desconfiado.

Para já, o conselho prático é pouco vistoso. Quem tenha notado mensagens inesperadas de reposição de palavra-passe ou saídas de sessão súbitas durante o fim de semana deve verificar que endereços de correio e números de telefone estão associados à conta e remover tudo o que não reconheça. A verificação em dois passos continua a valer a pena pelos muitos ataques que de facto trava, ainda que neste não tenha contado para nada.

O porta-voz do Instagram, Andy Stone, confirmou na segunda-feira que o problema tinha sido corrigido e que a empresa estava a proteger as contas afetadas. O que a Meta não abordou é a pergunta de desenho mais ampla que o seu próprio lançamento levantou nesta primavera: quanta autoridade deve ter um agente automatizado sobre as contas de milhares de milhões de pessoas, e o que impede que a próxima conversa termine da mesma maneira.

Etiquetas: cibersegurança, meta, roubo de conta