Meta corrigiu recentemente uma falha grave na sua plataforma Meta AI, depois de um investigador de segurança ter descoberto um método simples para aceder a conversas privadas de outros utilizadores. Sandeep Hodkasia, fundador da empresa AppSecure, encontrou a vulnerabilidade em dezembro de 2024 e reportou-a diretamente à Meta. Em reconhecimento, a empresa pagou-lhe dez mil dólares pela descoberta.
O problema estava na forma como o sistema geria identificadores numéricos associados aos comandos dos utilizadores. Ao inspecionar o tráfego da aplicação web, Hodkasia percebeu que podia alterar esses números manualmente e aceder a mensagens criadas por outras pessoas, bem como às respostas geradas pela IA. Como os identificadores eram sequenciais e previsíveis, bastava alterar ligeiramente os números para explorar o bug e recolher dados privados em larga escala.
Sistema da Meta não estava preparado para a falha de segurança
A Meta confirmou que o seu sistema não estava a validar corretamente quem tinha permissão para aceder a cada conteúdo. Isto tornou possível visualizar conteúdos de outras contas, mesmo sem qualquer tipo de autenticação adicional. Após receber o alerta, a empresa corrigiu o erro em janeiro de 2025 e afirmou não ter encontrado indícios de que alguém tivesse explorado a falha antes do aviso de Hodkasia.
Este episódio insere-se no programa de recompensas por bugs da Meta, criado em 2011 para incentivar especialistas externos a detetar vulnerabilidades nas suas plataformas. Em 2024, a empresa pagou mais de dois milhões de dólares em prémios, com centenas de falhas identificadas por investigadores independentes. Nos últimos meses, o programa foi alargado a sistemas de inteligência artificial, como o Meta AI, devido à sensibilidade dos dados envolvidos.
O caso demonstra como pequenas falhas técnicas podem comprometer a privacidade de milhões de utilizadores e reforça a importância dos programas de recompensa para garantir maior segurança.
