A ferramenta em si funciona bem e funciona como deveria; no entanto, devido a um bug em um caminho de código separado, o sistema não verificou adequadamente se o endereço de e-mail fornecido pelo indivíduo que solicitou a redefinição de senha correspondia ao endereço de e-mail associado à conta do Instagram desse usuário. Como resultado, quando alguém forneceu um endereço de e-mail que não estava associado anteriormente à conta, o sistema enviou incorretamente um link de redefinição de senha para o e-mail não relacionado, em vez de rejeitar a solicitação. Isso permite que terceiros não autorizados recebam links de redefinição de senha para contas que não possuem.
Meta disse que o ataque surgiu pela primeira vez em 31 de maio, com o chefe de comunicações da Meta, Andy Stone. a empresa disse “resolveu” o incidente em 1º de junho. Durante esse período, várias contas importantes do Instagram foram afetadas, incluindo a conta do ex-presidente Barack Obama na Casa Branca, o sargento-chefe da Força Espacial dos EUA John F. Bentivegna e a Sephora. No aviso, a Meta acrescentou que “não sabe” se algum dado pessoal foi acessado como resultado da exploração, mas observou que os sequestradores de contas conseguiram obter endereços de e-mail, números de telefone, datas de nascimento, postagens em mídias sociais, mensagens diretas, informações de perfil, atividade de conta e contas conectadas.
O aviso afirma que 30 dos usuários afetados moram no Maine. O número refere-se a “usuários cujas senhas foram redefinidas por meio da ferramenta de suporte, não tinham 2FA habilitado em suas contas e cujas contas do Instagram provavelmente foram acessadas por pessoas não autorizadas” – embora Meta tenha dito que este é um “limite máximo”, já que algumas dessas contas podem ter sido acessadas legitimamente.
A empresa observou que desativou a ferramenta de suporte de IA e removeu o caminho do código problemático, ao mesmo tempo que cancelou o link de redefinição de senha gerado pelo exploit. Também inscreveu todas as contas potencialmente afetadas “em pontos de verificação de segurança obrigatórios que exigem autenticação antes de qualquer acesso à conta”.
