🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Meta revelou que 20.225 usuários do Instagram tiveram suas contas invadidas em um incidente recente em que invasores usaram o sistema de suporte baseado em IA da Meta para redefinir senhas.
Como o BleepingComputer informou há uma semana, os agentes da ameaça exploraram uma falha na ferramenta High Touch Support (HTS) da empresa, um sistema de suporte assistido por IA que ajuda os usuários a recuperar o acesso após serem bloqueados em suas contas do Instagram.
Ao explorar o fato de que o HTS não verificou se os endereços de e-mail estavam associados às contas do Instagram visadas, eles obtiveram links de redefinição de senha que lhes permitiram fazer login e sequestrar contas sem a autenticação de dois fatores (2FA) ativada.
"Os usuários podem solicitar suporte do HTS e, como parte desse processo, solicitar que um link de redefinição de senha seja enviado para seu endereço de e-mail. A ferramenta em si funcionou corretamente e funcionou conforme o esperado; no entanto, devido a um bug em um caminho de código separado, o sistema não verificou adequadamente se o endereço de e-mail fornecido pelo indivÃduo que solicitou uma redefinição de senha correspondia ao endereço de e-mail associado à conta do Instagram desse usuário", disse Amber Hannah, conselheira geral associada da Meta para resposta jurÃdica a incidentes, em uma carta de violação de dados recentemente arquivada com Gabinete do Procurador-Geral do Maine.
“Como resultado, quando um indivÃduo forneceu um endereço de e-mail não associado anteriormente à conta, o sistema enviou incorretamente um link de redefinição de senha para esse e-mail não associado, em vez de rejeitar a solicitação. Isso permitiu que terceiros não autorizados recebessem um link de redefinição de senha para contas que não possuÃam.
Depois que uma onda de relatos de usuários sobre esses ataques atingiu plataformas de mÃdia social, Andy Stone, vice-presidente de comunicações da Meta, respondeu a um dos usuários afetados, afirmando que o "problema foi resolvido e estamos protegendo as contas afetadas".
BleepingComputer também entrou em contato com Meta na semana passada para comentar sobre essa violação de segurança, mas ainda não recebemos resposta.
"Estamos escrevendo para informar que uma vulnerabilidade em uma ferramenta de suporte para recuperação de conta do Instagram foi usada para comprometer potencialmente as contas do Instagram de 30 usuários em sua jurisdição. Todas as contas foram protegidas para evitar qualquer acesso não autorizado continuado", acrescentou Hannah. "Em 31 de maio de 2026, a Meta descobriu que havia uma vulnerabilidade em um sistema de recuperação de conta do Instagram assistido por IA ('High Touch Support' ou 'HTS') que foi explorado por terceiros não autorizados para realizar redefinições de senha em contas de usuários do Instagram."
Converse com o agente HTS de suporte de IA da Meta (@thecomfeed)
Embora a Meta não tenha especificado quando os ataques começaram na carta de violação, o registro no site da OAG do Maine diz que a violação ocorreu em 17 de abril, que é provavelmente a data do primeiro ataque explorando a falha do HTS.
A empresa afirma não ter informações sobre quais informações pessoais podem ter sido acessadas ou roubadas das contas comprometidas, mas observou que os invasores poderiam ter obtido acesso à s informações de contato dos usuários afetados do Instagram (endereço de e-mail e/ou número de telefone), datas de nascimento, postagens e conteúdo em mÃdias sociais (fotos, vÃdeos, histórias), mensagens diretas e comunicações, atividade da conta e histórico de interação, informações de perfil (biografia, foto de perfil), bem como outras contas conectadas e serviços vinculados.
Depois de descobrir o incidente, a empresa desativou o sistema de suporte baseado em IA do HTS e todos os links de redefinição de senha gerados para garantir que todas as futuras tentativas de sequestro que fizessem parte da mesma campanha maliciosa fossem bloqueadas.
Ele também inscreveu todas as contas potencialmente roubadas em um ponto de verificação de segurança obrigatório e pediu a todos os usuários afetados que redefinissem suas senhas novamente e se autenticassem novamente para proteger e recuperar o controle das contas comprometidas.
"Antes de relançar a ferramenta, a Meta corrigirá a verificação de autenticação no ponto de entrada de recuperação do Instagram para garantir a verificação adequada dos endereços de e-mail em relação à s informações da conta existente antes de qualquer redefinição de senha ser iniciada", acrescentou Meta. “Além disso, a Meta está conduzindo uma revisão abrangente de fluxos de recuperação de contas semelhantes nas plataformas da Meta para identificar e remediar quaisquer problemas potenciais.”
Antes desse incidente, a Irlanda também multou a Meta em US$ 264 milhões por uma violação de dados em 2018 que expôs nomes, endereços de e-mail, números de telefone e localizações fÃsicas de mais de 29 milhões de contas do Facebook.
A Meta também foi multada em 265 milhões de euros (US$ 275,5 milhões) em novembro de 2022 por não proteger os dados dos usuários do Facebook contra scrapers, e outros 91 milhões de euros (US$ 100 milhões) por armazenar as senhas de centenas de milhões de usuários em texto simples.
Teste todas as camadas antes que os invasores o façam
Como o BleepingComputer informou há uma semana, os agentes da ameaça exploraram uma falha na ferramenta High Touch Support (HTS) da empresa, um sistema de suporte assistido por IA que ajuda os usuários a recuperar o acesso após serem bloqueados em suas contas do Instagram.
Ao explorar o fato de que o HTS não verificou se os endereços de e-mail estavam associados às contas do Instagram visadas, eles obtiveram links de redefinição de senha que lhes permitiram fazer login e sequestrar contas sem a autenticação de dois fatores (2FA) ativada.
"Os usuários podem solicitar suporte do HTS e, como parte desse processo, solicitar que um link de redefinição de senha seja enviado para seu endereço de e-mail. A ferramenta em si funcionou corretamente e funcionou conforme o esperado; no entanto, devido a um bug em um caminho de código separado, o sistema não verificou adequadamente se o endereço de e-mail fornecido pelo indivÃduo que solicitou uma redefinição de senha correspondia ao endereço de e-mail associado à conta do Instagram desse usuário", disse Amber Hannah, conselheira geral associada da Meta para resposta jurÃdica a incidentes, em uma carta de violação de dados recentemente arquivada com Gabinete do Procurador-Geral do Maine.
“Como resultado, quando um indivÃduo forneceu um endereço de e-mail não associado anteriormente à conta, o sistema enviou incorretamente um link de redefinição de senha para esse e-mail não associado, em vez de rejeitar a solicitação. Isso permitiu que terceiros não autorizados recebessem um link de redefinição de senha para contas que não possuÃam.
Depois que uma onda de relatos de usuários sobre esses ataques atingiu plataformas de mÃdia social, Andy Stone, vice-presidente de comunicações da Meta, respondeu a um dos usuários afetados, afirmando que o "problema foi resolvido e estamos protegendo as contas afetadas".
BleepingComputer também entrou em contato com Meta na semana passada para comentar sobre essa violação de segurança, mas ainda não recebemos resposta.
"Estamos escrevendo para informar que uma vulnerabilidade em uma ferramenta de suporte para recuperação de conta do Instagram foi usada para comprometer potencialmente as contas do Instagram de 30 usuários em sua jurisdição. Todas as contas foram protegidas para evitar qualquer acesso não autorizado continuado", acrescentou Hannah. "Em 31 de maio de 2026, a Meta descobriu que havia uma vulnerabilidade em um sistema de recuperação de conta do Instagram assistido por IA ('High Touch Support' ou 'HTS') que foi explorado por terceiros não autorizados para realizar redefinições de senha em contas de usuários do Instagram."
Converse com o agente HTS de suporte de IA da Meta (@thecomfeed)
Embora a Meta não tenha especificado quando os ataques começaram na carta de violação, o registro no site da OAG do Maine diz que a violação ocorreu em 17 de abril, que é provavelmente a data do primeiro ataque explorando a falha do HTS.
A empresa afirma não ter informações sobre quais informações pessoais podem ter sido acessadas ou roubadas das contas comprometidas, mas observou que os invasores poderiam ter obtido acesso à s informações de contato dos usuários afetados do Instagram (endereço de e-mail e/ou número de telefone), datas de nascimento, postagens e conteúdo em mÃdias sociais (fotos, vÃdeos, histórias), mensagens diretas e comunicações, atividade da conta e histórico de interação, informações de perfil (biografia, foto de perfil), bem como outras contas conectadas e serviços vinculados.
Depois de descobrir o incidente, a empresa desativou o sistema de suporte baseado em IA do HTS e todos os links de redefinição de senha gerados para garantir que todas as futuras tentativas de sequestro que fizessem parte da mesma campanha maliciosa fossem bloqueadas.
Ele também inscreveu todas as contas potencialmente roubadas em um ponto de verificação de segurança obrigatório e pediu a todos os usuários afetados que redefinissem suas senhas novamente e se autenticassem novamente para proteger e recuperar o controle das contas comprometidas.
"Antes de relançar a ferramenta, a Meta corrigirá a verificação de autenticação no ponto de entrada de recuperação do Instagram para garantir a verificação adequada dos endereços de e-mail em relação à s informações da conta existente antes de qualquer redefinição de senha ser iniciada", acrescentou Meta. “Além disso, a Meta está conduzindo uma revisão abrangente de fluxos de recuperação de contas semelhantes nas plataformas da Meta para identificar e remediar quaisquer problemas potenciais.”
Antes desse incidente, a Irlanda também multou a Meta em US$ 264 milhões por uma violação de dados em 2018 que expôs nomes, endereços de e-mail, números de telefone e localizações fÃsicas de mais de 29 milhões de contas do Facebook.
A Meta também foi multada em 265 milhões de euros (US$ 275,5 milhões) em novembro de 2022 por não proteger os dados dos usuários do Facebook contra scrapers, e outros 91 milhões de euros (US$ 100 milhões) por armazenar as senhas de centenas de milhões de usuários em texto simples.
Teste todas as camadas antes que os invasores o façam
#samirnews #samir #news #boletimtec #mais #de #20.000 #contas #do #instagram #roubadas #em #hack #de #suporte #meta #ai
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário