Por Pedro S. Teixeira
(Folhapress) – A Meta identificou que cerca de 20 mil contas do Instagram podem ter sido invadidas após ter identificado uma falha no sistema de recuperação de contas operado por IA (inteligência artificial). O número de contas potencialmente atingidas consta em um documento oficial registrado pela big tech ao governo do Maine, nos EUA, para comunicar a falha, onde diz ter identificado 30 moradores atingidos.
A big tech, que está informando autoridades sobre o incidente, diz no documento ter identificado a falha no dia 31 de maio e que todas as contas foram protegidas para evitar qualquer acesso não autorizado contínuo.
Procurada às 6h17 por email para detalhar se o ataque atingiu contas brasileiras, a Meta não respondeu até a publicação desta reportagem. A empresa não comunicou a ANPD (Agência Nacional de Proteção de Dados) do vazamento.
O incidente incluiu vazamento de contas relevantes como o da antiga conta presidencial de Barack Obama e da Sephora nos EUA.
A empresa afirma, no mesmo comunicado, que hackers conseguiram redefinir senhas por meio de uma falha no sistema de recuperação operado por IA para o Instagram. O problema afetou usuários que não tinham verificação em dois fatores, procedimento recomendado por especialistas para aumentar a segurança dos dados.
A ferramenta de IA ajuda os usuários que estão com contas bloqueadas a recuperarem o acesso. Para isso, eles pedem que um link de redefinição de senha seja enviado para seu email. Segundo a Meta, devido a um bug em um caminho de código separado, o sistema não verificou adequadamente se o endereço de email fornecido pelo dono da conta correspondia ao registrado no Instagram. Assim, o sistema enviava um link de redefinição de senha para emails não associados, em vez de rejeitar a solicitação, o que abriu a brecha para que pessoas não autorizadas recebessem link de redefinição de senha para contas que não eram suas.
Após redefinir a senha, era possível fazer login na conta se o titular não tivesse habilitado a autenticação de dois fatores. A empresa informou ainda, no documento oficial, não ter conhecimento de quais informações pessoais, se houver, que teriam sido acessadas. Mas pontuou que estavam potencialmente acessíveis nas contas do Instagram:
- Informações de contato (endereço de e-mail e/ou número de telefone)
- Data de nascimento
- Publicações e conteúdo de redes sociais (fotos, vídeos, stories)
- Mensagens diretas e comunicações
- Atividade da conta e histórico de interações
- Informações do perfil (biografia, foto de perfil)
- Contas conectadas e serviços vinculados
