Continua após a publicidade
Há meses que são emitidos alertas sobre o potencial da IA no mundo dos ataques online. Foi precisamente daí que veio um problema grave de segurança na Meta e o Instagram. Bastou aos atacantes pedir à IA dona de várias redes sociais para que muitas contas do Intagram fossem roubadas.
Continua após a publicidade
Bastou pedir à IA da Meta
A Meta sofreu uma alegada vulnerabilidade numa ferramenta de recuperação de contas de Instagram baseada em IA, desenvolvida pela própria empresa. Vários utilizadores da plataforma, criada para partilhar fotografias e vídeos, reportaram uma alteração nas suas credenciais de login. Isso deixou-os sem acesso aos seus perfis e sem possibilidade de recuperar as suas contas.
No caso deste ataque ao Instagram, e apesar de existirem medidas de segurança como a autenticação de dois fatores, estas não impediram a intrusão. Segundo os afetados, os hackers conseguiram enganar o chatbot da Meta para que este abrisse as suas contas simplesmente solicitando informações. Este é o processo que vários utilizadores indicaram em plataformas como o Reddit e que mostra um vídeo na rede social X.
É simples contornar as medidas de segurança de IA da Meta. Usando uma VPN, o hacker coloca a sua ligação no país de origem onde se encontra a conta alvo do ataque, evitando assim as medidas de segurança iniciais da Meta. Depois disso, tudo passa pela conversa com o Assistente de Suporte da Meta AI. Aí solicitaram a inclusão do seu novo endereço de e-mail. Isto acontece sem que o sistema realizasse as medidas de segurança e verificação adequadas.
🚨 Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer) June 1, 2026
Permitiu roubar contas de Instagram
Este novo endereço de e-mail de contacto foi o destinatário do código de recuperação solicitado durante a conversa com o chatbot de IA da Meta, um código que o atacante simplesmente tinha de copiar e colar na sua conversa com o assistente para que fosse apresentado um botão para repor a palavra-passe da conta e, com isso, a conta passou a ser dele.
Este caso é particularmente impressionante porque os atacantes não tiveram de aceder a nenhuma base de dados da Meta , quebrar o sistema de autenticação de dois fatores (2FA) ou sequer obter a palavra-passe do endereço de e-mail configurado para recuperação. Simplesmente precisaram de interagir com o assistente de IA da Meta para realizar ações de recuperação de conta em seu nome.
O Instagram, através do seu porta-voz Andy Stone, respondeu a uma publicação de uma das pessoas afetadas, indicando que o problema tinha sido resolvido. Da mesma forma, as contas de figuras importantes, como a conta da Casa Branca durante a administração Obama, foram restauradas e o conteúdo publicado durante o acesso externo foi removido.
Saiba mais sobre Inteligência Artificial
Publicidade
