A dicembre Meta aveva annunciato con una certa enfasi un nuovo assistente AI dedicato al supporto clienti, promettendo che avrebbe reso il processo di recupero degli account “più veloce e semplice” per chi si trovava bloccato fuori dal proprio profilo Facebook o Instagram. Ebbene, sembra che l’azienda di Menlo Park abbia mantenuto fin troppo bene quella promessa, ma non nel modo sperato.

Quello stesso assistente AI è stato apparentemente sfruttato da malintenzionati per impossessarsi di numerosi account Instagram. Secondo diversi ricercatori di sicurezza, lo strumento ha reso ridicolmente semplice il takeover degli account, persino quelli protetti dall’autenticazione a due fattori.

Segui TuttoTech.net su Google Discover

Offerta

Google Pixel 9a, 128GB

309€ invece di 349€
-11%
Amazon

La falla segnalata su X, i tutorial circolavano su Telegram

L’exploit è stato segnalato nel corso del fine settimana da numerosi ricercatori di sicurezza su X. Dettagli su come impossessarsi degli account, insieme a screenshot e video che mostravano le violazioni in azione, circolavano ampiamente su Telegram, hanno riferito i ricercatori.

Le immagini e i video suggeriscono che gli hacker potevano semplicemente chiedere al chatbot AI di supporto di modificare l’email associata all’account desiderato e successivamente richiedere un reset della password.

Meta ha ora risolto il problema, anche se non è chiaro quanti account siano stati compromessi prima della correzione. Secondo 404 Media, una buona fetta di utenti su Telegram discutevano della vulnerabilità già da marzo ed è paradossale che Meta ne è venuta a conoscenza solo mesi dopo.

Interpellata per un commento, Meta ha indirizzato Engadget a un post su X del VP delle comunicazioni Andy Stone: “Questo problema è stato risolto e stiamo mettendo in sicurezza gli account colpiti“, ha scritto Stone in risposta a un account che aveva pubblicato informazioni sulle violazioni.

La geolocalizzazione come unico controllo di sicurezza

Sebbene Meta non abbia fornito informazioni aggiuntive sul perché il suo strumento di supporto AI presentasse una falla di sicurezza così clamorosa, sembra che gli hacker abbiano scoperto che il chatbot si affidava alla posizione fisica dei titolari degli account per abilitare il supporto.

L’exploit, ora corretto, richiedeva che gli hacker utilizzassero una VPN per far apparire la propria posizione coincidente con quella della persona il cui account stavano prendendo di mira, secondo Neowin.

I nostri sistemi riconoscono il dispositivo che usi abitualmente e le posizioni familiari meglio che mai“, aveva scritto Meta nel post di dicembre dedicato allo strumento di supporto AI. Una frase che oggi suona quantomeno ironica viste le conseguenze di questo sistema.

Account di alto profilo compromessi: dalla Casa Bianca Obama a Sephora

Non sappiamo ufficialmente quanti account Instagram siano stati violati attraverso lo strumento AI, ma la tempistica sembra coincidere con un’ondata di attacchi ad account di alto profilo, incluso quello della Casa Bianca dell’era Obama.

L’account, che non pubblicava dal 2017, ha postato un’immagine generata dall’AI con un messaggio che, tradotto, recita “la Casa Bianca è sotto il controllo degli sciiti“, secondo TMZ. Meta ha confermato l’hack alla testata ma non ha fornito dettagli su come sia stato effettuato o chi possa esserne responsabile.

Altri account che potrebbero essere stati coinvolti nell’exploit includono quello del rivenditore di cosmetici Sephora e quello di un alto funzionario della Space Force, secondo 404 Media. Un elenco di vittime che testimonia la gravità della falla e solleva interrogativi sulla sicurezza degli strumenti AI quando vengono integrati in processi critici come il recupero degli account.

Potrebbero interessarti:

Seguici su:YouTubeFacebook TikTokGoogle, come Fonte PreferitaInstagramGoogle Discover

I nostri contenuti da non perdere: