▲
- Houve uma vulnerabilidade na plataforma de IA da Meta que expunha informações de usuários sem autorização.
- Usuários podem se sentir vulneráveis ao saber que seus dados podem ser acessados por terceiros.
- A correção da falha protege a privacidade de usuários e evita acessos não autorizados a informações confidenciais.
A Meta, empresa por trás de plataformas como WhatsApp, Instagram e Facebook, agiu rapidamente para corrigir uma brecha de segurança em seu serviço de inteligência artificial (IA). A vulnerabilidade, que foi exposta pelo especialista em cibersegurança Sandeep Hodkasia ao site TechCrunch, permitia que usuários acessassem informações privadas de outras pessoas. A correção da Falha na Meta AI aconteceu cerca de um mês após a denúncia formal.
Sandeep Hodkasia, fundador da empresa de testes de segurança AppSecure, identificou a falha no funcionamento do chatbot Meta AI no final de dezembro de 2024. A brecha possibilitava que um usuário visse o que outras pessoas estavam perguntando ao serviço e as respostas geradas, mesmo que fossem solicitações particulares e sem qualquer tipo de autorização. Isso representava uma séria violação de privacidade dos dados.
Por sua descoberta e denúncia, Sandeep recebeu uma recompensa de US$ 10 mil, que equivale a pouco mais de R$ 55 mil em conversão direta. A Meta confirmou a existência da falha ao TechCrunch e informou que ela foi devidamente corrigida por meio de uma atualização. A companhia afirmou que não há sinais de que a brecha tenha sido usada por terceiros mal-intencionados.
Como era a Falha na Meta AI
A vulnerabilidade no chatbot de serviço de inteligência artificial da Meta estava ligada ao histórico de interações mantido pelo sistema. Aparentemente, a plataforma atribuía um código numérico para cada interação feita por um usuário, que incluía tanto a pergunta quanto o conteúdo gerado pela IA. Esse número era então usado para recuperar essas informações caso o usuário solicitasse à IA.
O problema descoberto por Sandeep era que, ao analisar os dados de tráfego do navegador, ele percebeu que poderia substituir o número de identificação único de sua própria interação por qualquer outro. Ao repetir o pedido com um código diferente, o servidor da Meta entregava a ele uma interação que pertencia a outro usuário. O sistema não verificava se o conteúdo realmente pertencia à pessoa que fez a solicitação, causando a vulnerabilidade no sistema de IA que expunha dados privados.
Leia também:
Esse número, que era relativamente fácil de adivinhar, poderia permitir que agentes mal-intencionados acessassem e coletassem prompts de várias pessoas de forma automatizada. Isso abriria caminho para a obtenção massiva de solicitações privadas ou até mesmo de informações corporativas, resultando em uma grande violação de privacidade dos usuários. A segurança da IA e a proteção de dados são pontos cruciais nesse cenário.
Essa não é a primeira vez que a Meta precisa ajustar suas plataformas devido a denúncias de segurança ou comportamento inadequado de suas IAs. Chatbots da empresa já foram relatados por acidentalmente compartilharem números de telefone de usuários e até mesmo por gerarem conversas de teor sexual com menores de idade, destacando a complexidade do gerenciamento de sistemas de inteligência artificial.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
