A empresa de segurança cibernética AppSecure publicou a descoberta de uma falha crítica na plataforma Meta.AI que, se não corrigida, poderia expor interações privadas de usuários com o chatbot da Meta. A vulnerabilidade foi identificada pelo fundador da AppSecure, Sandeep Hodkasia, durante uma pesquisa de segurança.
O problema
O problema estava em uma consulta específica da API GraphQL da Meta.AI, que permitia o acesso indevido a conteúdos gerados por outros usuários. Bastava alterar o parâmetro media_set_id para visualizar prompts e respostas que não pertenciam ao usuário autenticado. A falha não possuía verificação de autorização adequada.
Reportada à Meta em dezembro de 2024, a vulnerabilidade recebeu uma correção temporária em janeiro de 2025 e foi resolvida de forma definitiva em abril do mesmo ano. Como reconhecimento, a empresa concedeu US$ 10 mil pela descoberta principal e outros US$ 4.550 por falhas relacionadas.
Sandeep destacou a importância de testar proativamente plataformas de IA, alertando que brechas como essa podem colocar dados pessoais em risco. A ferramenta da AppSecure é conhecida por simular ataques reais e ajudar empresas a identificar riscos antes que se tornem ameaças graves.
fonte: CISO ADVISOR
