Instagram, 20.000 account vulnerabili a causa di un bug nell’assistente AI, annuncia Meta

In una notifica di violazione di dati ufficiale, Meta ha rivelato per la prima volta il numero esatto degli account Instagram compromessi in seguito alla vulnerabilità nel suo AI-powered chatbot di assistenza. Un totale di 20.225 account è stato colpito, tra cui 30 in Maine. L'attacco ha avuto luogo per quasi sette settimane senza essere rilevato.

La vulnerabilità di High Touch Support

L’assistente AI chiamato "High Touch Support" è progettato per assistere gli utenti bloccati nel ripristinare l’accesso ai loro account Instagram. Tuttavia, un difetto nel codice ha lasciato il sistema senza una verifica che l’indirizzo e-mail fornito appartenesse davvero all’account in questione. Questo ha permesso agli hacker di inviare link di reimpostazione della password a qualsiasi indirizzo e-mail.

Durata e scoperta dell’attacco

Gli attacchi hanno avuto inizio intorno al 17 aprile 2026 e non sono stati scoperti fino al 31 maggio 2026. Gli hacker hanno sfruttato la vulnerabilità esistente nel sistema di ripristino AI-powered di Meta, che ha inviato link di reimpostazione della password a qualsiasi indirizzo e-mail senza verificare la sua appartenenza all’account.

Secondo la notifica, i dati che potrebbero essere stati accessibili includono informazioni di contatto, date di nascita, post, messaggi diretti, attività dell’account, informazioni del profilo e servizi collegati, come indicato da Meta. Tuttavia, la multinazionale non conosce esattamente quali informazioni siano state effettivamente visualizzate.

Risposta immediata di Meta

Al fine di porre fine alla vulnerabilità, Meta ha immediatamente disattivato il chatbot, rimosso il percorso codificato errato e invalidato tutti i link di reimpostazione generati attraverso il sistema. Gli utenti interessati sono stati messi in una prova di sicurezza obbligatorio in cui sono stati invitati a reimpostare le proprie password attraverso canali verificati.

Pianificazione futura

Prima di riattivare lo strumento, Meta ha dichiarato di voler correggere il passo della verifica email nel processo di ripristino e di effettuare un’audizione su sistemi simili per il ripristino degli account in tutte le sue piattaforme. L'evento si verifica in un momento in cui meta ha ridotto di migliaia di posti di lavoro, puntando fortemente sull’AI. Il chatbot di supporto AI era precedentemente promosso da Meta come un passo positivo in termini di sicurezza degli account.

Sottoscrivi notizie AI senza il fuoco, selezionate dagli umani

Iscriversi a THE DECODER per la lettura senza pubblicità, una newsletter settimanale sull’AI e un report esclusivo intitolato "AI Radar" sei volte all'anno, accesso all’archivio completo e accesso commenti.