A ferramenta em si funcionou bem e funcionou conforme o esperado. No entanto, um bug em outro caminho de código impediu que o sistema validasse adequadamente se o endereço de e-mail fornecido por um indivíduo que solicitava uma redefinição de senha correspondia ao endereço de e-mail associado à conta do Instagram desse usuário. Como resultado, se um indivíduo tivesse fornecido anteriormente um endereço de e-mail que não estava associado à sua conta, o sistema enviaria incorretamente um link de redefinição de senha para esse e-mail não associado, em vez de negar a solicitação. Isso permitiu que terceiros não autorizados recebessem um link de redefinição de senha para uma conta que não possuía.
Andy Stone, diretor de comunicações da Meta, disse que o ataque surgiu pela primeira vez em 31 de maio. a empresa diz O caso foi “resolvido” no dia 1º de junho. Várias contas proeminentes do Instagram foram afetadas durante esse período, incluindo a conta do ex-presidente Barack Obama na Casa Branca, o sargento-chefe da Força Espacial dos EUA, John F. Bentivegna, e a Sephora. Meta acrescentou no aviso que “não tinha conhecimento” se algum dado pessoal foi acessado como resultado da exploração, mas observou que os sequestradores de contas podem ter obtido endereços de e-mail, números de telefone, datas de nascimento, postagens em mídias sociais, mensagens diretas, informações de perfil, atividade de conta e contas conectadas.
Trinta dos usuários afetados moravam no Maine, de acordo com o aviso. Este número refere-se a “usuários que tiveram suas senhas redefinidas por meio de ferramentas de suporte, não tinham o 2FA habilitado em suas contas e cujas contas do Instagram podem ter sido acessadas por terceiros não autorizados”. No entanto, Meta afirma que este número é um “limite máximo”, já que algumas dessas contas podem ter sido acessadas legalmente.
A empresa disse que desativou suas ferramentas de suporte de IA, removeu o caminho do código com erros e desativou os links de redefinição de senha gerados usando o exploit. Ele também inscreveu todas as contas potencialmente afetadas em “pontos de verificação de segurança obrigatórios que exigem autenticação antes de acessar a conta”.
