⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Vários usuários do Instagram tiveram suas contas sequestradas depois que os invasores convenceram as ferramentas de suporte baseadas em IA do Meta de que eles eram os proprietários legítimos.
Em muitos casos, os usuários afetados não conseguem recuperar o acesso devido ao uso de assistência automatizada pela plataforma, que envolve apenas loops de IA/chatbot e nenhum agente de suporte humano.
Na segunda-feira, vários titulares de contas raras e de alto valor relataram ter perdido repentinamente o acesso às suas contas, alegando que as suas identidades tinham sido verificadas através de verificações faciais e que tinham ativado salvaguardas como a autenticação de dois fatores (2FA).
Entre as contas impactadas estavam uma usada anteriormente pela equipe da Casa Branca de Obama, uma pertencente à pesquisadora de aplicativos Jane Manchun Wong, @hey e @korn.
O proprietário da conta @korn, que observou que a banda nunca reivindicou oficialmente a conta e está usando outra, expressou frustração com o mecanismo de recuperação do Meta, que os colocou em um ciclo de perda de tempo.
“Passei 6 horas tentando obter suporte humano, e a IA de suporte do Meta me deu 4 links quebrados seguidos”, explicou o usuário que se identificou como Kornel.
“Chegamos ao ponto em que uma IA roubou e outra não consegue consertar, zero humanos envolvidos em qualquer lugar”, disse o proprietário da conta @korn.
Segundo alguns repórteres, os ataques de sequestro de contas foram triviais. A atividade envolveu conversar com o assistente de IA do Meta, convencê-lo de que o invasor era o proprietário legítimo da conta e induzi-lo a alterar o endereço de e-mail associado.
O processo de aquisição começa com o agente da ameaça ativando o protocolo “esqueci a senha” devido à conta ter sido hackeada. Quando a assistência alimentada por IA do Instagram pede ao usuário para verificar com uma selfie, o invasor usa uma foto da conta do alvo, passa-a por um gerador de vídeo de IA para transformá-la em uma animação e carrega-a no Meta para verificação.
O usuário André diz que “a IA do Meta simplesmente aceita porque não consegue distinguir entre uma selfie real e um vídeo do rosto de alguém gerado por IA”. Eles também acrescentaram que o método de aquisição ignora as proteções 2FA.
"Então você tenta recuperar sua conta e está falando com um chatbot que não tem capacidade de ajudar. Você não pode escalar para um humano. Você está simplesmente preso. Seu ativo desapareceu e não há ninguém para quem ligar", disse André.
Alguns relatórios afirmam que os invasores usaram serviços VPN para parecer que estavam conectados a partir da região habitual do alvo, para passar em verificações de geolocalização que desencadeariam um fluxo de login mais complexo para maior segurança.
Converse com o agente de suporte de IA do MetaFonte: @thecomfeed
Após alterar o endereço de e-mail, o invasor pode iniciar um processo de redefinição de senha e receber o código de segurança necessário para obter acesso à conta.
Alguns relatórios online afirmam que as contas de uma letra @e e @f no Instagram foram obtidas através de uma exploração ativa. No entanto, outros contestam esta informação, argumentando que os nomes de utilizador foram protegidos por um indivíduo com privilégios internos. O BleepingComputer não foi capaz de verificar nenhuma das afirmações de forma independente.
Como as contas de mídia social com uma única letra são muito raras, elas têm um alto valor no mercado negro, normalmente na casa das dezenas de milhares de dólares americanos.
Embora a Meta ainda não tenha publicado um comunicado de imprensa com uma resposta oficial à situação, o vice-presidente de comunicações da empresa, Andy Stone, respondeu nas redes sociais a um usuário afetado afirmando que o “problema foi resolvido e estamos protegendo as contas afetadas”.
BleepingComputer contatou Meta com um pedido de comentário, mas não recebemos resposta até a publicação.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
Em muitos casos, os usuários afetados não conseguem recuperar o acesso devido ao uso de assistência automatizada pela plataforma, que envolve apenas loops de IA/chatbot e nenhum agente de suporte humano.
Na segunda-feira, vários titulares de contas raras e de alto valor relataram ter perdido repentinamente o acesso às suas contas, alegando que as suas identidades tinham sido verificadas através de verificações faciais e que tinham ativado salvaguardas como a autenticação de dois fatores (2FA).
Entre as contas impactadas estavam uma usada anteriormente pela equipe da Casa Branca de Obama, uma pertencente à pesquisadora de aplicativos Jane Manchun Wong, @hey e @korn.
O proprietário da conta @korn, que observou que a banda nunca reivindicou oficialmente a conta e está usando outra, expressou frustração com o mecanismo de recuperação do Meta, que os colocou em um ciclo de perda de tempo.
“Passei 6 horas tentando obter suporte humano, e a IA de suporte do Meta me deu 4 links quebrados seguidos”, explicou o usuário que se identificou como Kornel.
“Chegamos ao ponto em que uma IA roubou e outra não consegue consertar, zero humanos envolvidos em qualquer lugar”, disse o proprietário da conta @korn.
Segundo alguns repórteres, os ataques de sequestro de contas foram triviais. A atividade envolveu conversar com o assistente de IA do Meta, convencê-lo de que o invasor era o proprietário legítimo da conta e induzi-lo a alterar o endereço de e-mail associado.
O processo de aquisição começa com o agente da ameaça ativando o protocolo “esqueci a senha” devido à conta ter sido hackeada. Quando a assistência alimentada por IA do Instagram pede ao usuário para verificar com uma selfie, o invasor usa uma foto da conta do alvo, passa-a por um gerador de vídeo de IA para transformá-la em uma animação e carrega-a no Meta para verificação.
O usuário André diz que “a IA do Meta simplesmente aceita porque não consegue distinguir entre uma selfie real e um vídeo do rosto de alguém gerado por IA”. Eles também acrescentaram que o método de aquisição ignora as proteções 2FA.
"Então você tenta recuperar sua conta e está falando com um chatbot que não tem capacidade de ajudar. Você não pode escalar para um humano. Você está simplesmente preso. Seu ativo desapareceu e não há ninguém para quem ligar", disse André.
Alguns relatórios afirmam que os invasores usaram serviços VPN para parecer que estavam conectados a partir da região habitual do alvo, para passar em verificações de geolocalização que desencadeariam um fluxo de login mais complexo para maior segurança.
Converse com o agente de suporte de IA do MetaFonte: @thecomfeed
Após alterar o endereço de e-mail, o invasor pode iniciar um processo de redefinição de senha e receber o código de segurança necessário para obter acesso à conta.
Alguns relatórios online afirmam que as contas de uma letra @e e @f no Instagram foram obtidas através de uma exploração ativa. No entanto, outros contestam esta informação, argumentando que os nomes de utilizador foram protegidos por um indivíduo com privilégios internos. O BleepingComputer não foi capaz de verificar nenhuma das afirmações de forma independente.
Como as contas de mídia social com uma única letra são muito raras, elas têm um alto valor no mercado negro, normalmente na casa das dezenas de milhares de dólares americanos.
Embora a Meta ainda não tenha publicado um comunicado de imprensa com uma resposta oficial à situação, o vice-presidente de comunicações da empresa, Andy Stone, respondeu nas redes sociais a um usuário afetado afirmando que o “problema foi resolvido e estamos protegendo as contas afetadas”.
BleepingComputer contatou Meta com um pedido de comentário, mas não recebemos resposta até a publicação.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #usuários #do #instagram #bloqueados #após #abuso #de #meta #ai #para #roubar #contas
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário