Meta conferma: oltre 20.000 conti Instagram compromessi a causa di un bug nei chatbot di supporto

Meta ha confermato che più di 20.000 conti Instagram sono stati compromessi a causa di una vulnerabilità nel suo chatbot di supporto AI. L’azienda ha riferito in un comunicato ufficiale che almeno 20.225 conti sono stati interessati da questa campagna di hacking, di cui 30 sarebbero situati in Maine.

Scoperta di una compromissione a lungo termine

Gli hacker hanno sfruttato per diversi mesi la chatbot di supporto AI per Instagram, chiamata "High Touch Support", al fine di prendere il controllo di account diversi. Questo strumento di ripristino conto era concepito per aiutare utenti bloccati a recuperare l’accesso ai loro account. Tuttavia, un errore in un percorso di codice separato ha causato un problema: il sistema non verificava correttamente se l’indirizzo email fornito appartenesse effettivamente al conto specificato.

L’attacco è stato individuato solo il 31 maggio, nonostante le prime tracce risalgano al 17 aprile 2026. Nella relazione fornita alla Procura Generale dello Stato del Maine, Meta ha riconosciuto che il suo strumento di ripristino conto basato sull’intelligenza artificiale aveva fallito nel suo compito principale. Il sistema inviava i link di reimpostazione della password a qualsiasi indirizzo email fornito, senza verificare se era legato al conto.

Dati a rischio

Secondo Meta, gli utenti potenzialmente colpiti hanno esposto informazioni sensibili, come contatti, date di nascita, post, messaggi diretti, attività dell’account, dati del profilo e servizi collegati. Tuttavia, l’azienda afferma di non sapere con certezza quali informazioni siano state effettivamente consultate durante l’attacco.

Nel periodo in cui il bug era attivo, gli hacker hanno potuto accedere a un numero non precisato di account. Meta considera i 20.225 come il limite superiore, poiché alcuni di questi tentativi di accesso potrebbero essere stati effettuati da legittimi proprietari di account che hanno avviato un reset delle credenziali.

Interrompere e riparare

In risposta a questa vulnerabilità, una volta individuata la falle, Meta ha immediatamente disattivato il chatbot, rimosso il codice errato e dichiarato invalidi tutti i link di reimpostazione della password generati tramite quel sistema. Utenti colpiti sono stati indirizzati a un checkpoint obbligatorio e invitati a reimpostare le loro password tramite canali verificati.

Controlli e verifiche a livello globale

Meta sta lavorando a correggere il processo di convalida delle email durante la procedura di ripristino e a esaminare in profondità i sistemi di ripristino conto su tutte le sue piattaforme. L’incidente si verifica in un periodo particolarmente sensibile: mentre il gruppo ha proceduto all’esodo di migliaia di dipendenti, ha investito in massima misura nel potenziamento delle tecnologie basate sull’intelligenza artificiale.

Un cambio di prospettiva sulla sicurezza

Il chatbot di supporto AI, lanciato inizialmente come strumento avanzato in termini di sicurezza, si è rivelato un elemento vulnerabile. L’episodio sottolinea i rischi connessi all’implementazione di sistemi automatizzati non adeguatamente testati e convalidati.

Come rimanere informati

I lettori interessati possono iscriversi al THE-DECODER-Abo per rimanere aggiornati senza pubblicità su tutta la cronaca legata alle tecnologie basate sull’intelligenza artificiale. L’abbonamento offre accesso alla community, ai commenti, al nostro newsletter settimanale KI, al "KI Radar" - newsletter trimestrale e agli archivi completi, disponibili per la consultazione per i prossimi anni.