Una vulnerabilità nel chatbot di supporto basato sull’intelligenza artificiale di Meta ha permesso ad alcuni hacker di prendere il controllo di account Instagram senza accedere alle email delle vittime. La falla, ora corretta, è stata sfruttata anche contro profili di alto profilo, tra cui l’account Instagram inattivo della Casa Bianca dell’era Obama e quello di un alto ufficiale della US Space Force.
Secondo le ricostruzioni, gli aggressori avviavano la procedura di recupero password e, utilizzando una VPN per simulare la posizione della vittima, convincevano il chatbot di Meta ad aggiungere un nuovo indirizzo email all’account bersaglio. Il sistema inviava quindi il codice di verifica direttamente all’email controllata dall’attaccante, consentendo la reimpostazione della password e il controllo dell’account.
Le istruzioni per sfruttare la vulnerabilità hanno iniziato a circolare su Telegram alla fine di maggio. Il giornalista di sicurezza Brian Krebs e la ricercatrice Jane Wong hanno contribuito a documentare il problema.
Meta ha confermato di aver risolto la falla e di aver messo in sicurezza gli account coinvolti. L’incidente evidenzia i rischi legati all’automazione dei processi di supporto tramite intelligenza artificiale e conferma l’importanza dell’autenticazione a più fattori, che avrebbe impedito gran parte degli accessi non autorizzati.
