▲
- A Meta identificou e corrigiu uma falha que expunha interações de usuários na sua IA.
- Usuários podem estar mais protegidos contra acessos indevidos de suas informações privadas.
- A falha envolvia o código de identificação das conversas, podendo permitir a coleta de dados pessoais.
- Meta pagou recompensa de US$ 10 mil ao denunciante e garantiu que o problema foi resolvido.
A Meta, empresa por trás do WhatsApp, Instagram e Facebook, corrigiu recentemente uma brecha de segurança em seu serviço de inteligência artificial. O caso foi revelado ao site TechCrunch por Sandeep Hodkasia, um especialista em cibersegurança que identificou e denunciou a vulnerabilidade.
De acordo com Sandeep, essa falha no chatbot Meta AI permitia que qualquer usuário acessasse os comandos e respostas de outros usuários de forma aleatória. Isso incluía solicitações privadas, sem necessidade de autorização das pessoas envolvidas, o que gerava uma grave preocupação com a privacidade dos dados.
Sandeep, que é fundador da empresa de testes de segurança AppSecure, formalizou a denúncia para a Meta no final de dezembro de 2024. Pelo seu trabalho, o especialista recebeu uma recompensa de US$ 10 mil, que equivale a pouco mais de R$ 55 mil em conversão direta. A correção da brecha de segurança foi implementada cerca de um mês depois, por meio de uma atualização do sistema.
Falha no Meta AI e o Acesso Indevido
A vulnerabilidade encontrada no chatbot de IA generativa da Meta estava ligada ao histórico geral de interações do serviço. Aparentemente, a plataforma gerava um código numérico único para cada conversa entre a IA e um usuário, registrando tanto o comando enviado (prompt) quanto o conteúdo criado como resposta.
Esse código era utilizado para que a própria inteligência artificial pudesse resgatar interações anteriores caso o usuário solicitasse. O problema surgiu quando Sandeep, ao analisar o tráfego de dados de seu navegador, percebeu que era possível alterar esse número de identificação por outro qualquer e repetir a solicitação. Essa técnica permitiu que o servidor da Meta enviasse a ele interações que pertenciam a outros usuários, sem verificar se o conteúdo era realmente do solicitante.
Leia também:
Essa falha abria uma porta para sérios problemas de privacidade. O número, por ser considerado “fácil de adivinhar”, poderia permitir que pessoas mal-intencionadas utilizassem ferramentas automatizadas para fazer a “raspagem” de dados. Em outras palavras, eles poderiam coletar massivamente prompts e respostas de outros usuários, inclusive informações privadas ou corporativas, gerando uma grande violação de privacidade. A Meta, como outras grandes empresas de tecnologia, lida constantemente com desafios relacionados à segurança da IA em suas plataformas.
A Meta confirmou ao TechCrunch a existência da falha, sua correção e o pagamento da recompensa a Sandeep. A empresa afirmou que não encontrou indícios de que essa brecha tenha sido explorada por terceiros antes da correção. No entanto, esta não é a primeira vez que a Meta enfrenta questões sobre a segurança ou o comportamento de seus chatbots de IA.
Anteriormente, já foram relatados casos onde chatbots da Meta acidentalmente compartilharam números de telefone de usuários. Houve também denúncias de que os sistemas geraram conversas de teor sexual com menores de idade, destacando os desafios contínuos na moderação e segurança de tecnologias de inteligência artificial, assim como outras companhias de tecnologia enfrentam problemas em seus serviços.
Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.
