Instagram sotto attacco: un bug dell’AI di Meta compromette 20.000 account
🚨 Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer)
In una vicenda che ha del clamoroso, un gruppo di cybercriminali è riuscito a raggirare l’assistente virtuale basato su intelligenza artificiale di Meta, ottenendo il controllo di circa ventimila account Instagram. Tra i profili colpiti spiccano anche nomi eccellenti e canali istituzionali di alto profilo, come il vecchio account della Casa Bianca risalente all’amministrazione Obama, la pagina del capo sergente della US Space Force e il profilo della nota ricercatrice di sicurezza Jane Wong.
La dinamica dell’attacco si è rivelata sorprendentemente semplice nella sua esecuzione, evidenziando una grave falla logica nei sistemi di assistenza automatizzati. Gli hacker hanno avviato la normale procedura di recupero della password per i profili target, selezionando l’assistente IA di Meta come canale di supporto. A quel punto, hanno chiesto alla chat di associare un nuovo indirizzo email all’account in questione. Incredibilmente, l’intelligenza artificiale ha eseguito il comando senza richiedere alcuna verifica d’identità o sessione attiva, inviando un codice di conferma alla nuova casella postale. Con questo codice, i malintenzionati hanno reimpostato le credenziali, disconnettendo simultaneamente i legittimi proprietari da tutti i loro dispositivi.
L’entità dell’attacco è emersa chiaramente dopo la diffusione di un video dimostrativo sul Dark Web. Meta ha successivamente confermato che la vulnerabilità ha coinvolto precisamente 20.225 account Instagram. Attraverso questa violazione, gli aggressori avrebbero potuto avere accesso a una mole enorme di dati sensibili, tra cui messaggi privati, informazioni di profilo, numeri di telefono, date di nascita e cronologia delle attività.
La risposta del colosso dei social media non si è fatta attendere. Meta ha immediatamente disattivato lo strumento di supporto IA incriminato, assicurando che rimarrà offline fino a quando la falla non sarà definitivamente risolta. Parallelamente, l’azienda ha invalidato tutti i link di ripristino generati durante l’attacco, forzato il reset delle password per gli utenti coinvolti e inserito gli account colpiti in un percorso di verifica di sicurezza obbligatorio per garantirne il recupero in totale sicurezza.
