L’intelligenza artificiale viene sempre più spesso utilizzata per automatizzare attività che fino a poco tempo fa richiedevano l’intervento diretto di operatori umani. Una scelta che permette di velocizzare molti processi, ma che può anche generare problemi quando vengono coinvolte funzioni particolarmente delicate.
È proprio quanto sarebbe accaduto a Meta, finita al centro delle discussioni dopo la scoperta di una vulnerabilità che avrebbe riguardato il sistema di assistenza automatica basato sull’AI utilizzato per la gestione degli account di Instagram.
Il chatbot poteva modificare dati fondamentali dell’account
Secondo quanto emerso, il cosiddetto Meta AI support assistant aveva ricevuto il compito di assistere gli utenti anche nelle operazioni legate agli accessi ai profili.
Tra le funzionalità disponibili figurava la possibilità di modificare l’indirizzo email associato a un account. Una procedura che, a prima vista, potrebbe sembrare secondaria, ma che in realtà rappresenta uno degli elementi più importanti per la sicurezza di un profilo.
L’indirizzo di posta elettronica è infatti il riferimento utilizzato per recuperare l’accesso e reimpostare la password in caso di smarrimento delle credenziali. Alterare questo dato significa, di fatto, assumere il controllo del processo di recupero dell’account.
Bastava una conversazione con l’AI
L’aspetto più preoccupante della vicenda riguarda la semplicità con cui sarebbe stato possibile sfruttare il problema.
Secondo le segnalazioni circolate online, non sarebbero state necessarie particolari competenze informatiche o tecniche avanzate di hacking. Alcuni contenuti pubblicati sui social mostrerebbero infatti come fosse sufficiente interagire direttamente con il chatbot per richiedere la modifica dell’email associata a un determinato profilo.
In alcuni casi, sarebbe bastato utilizzare una VPN per simulare la presenza nella stessa area geografica della vittima e superare eventuali controlli aggiuntivi previsti dal sistema.
Il risultato potenziale era estremamente serio: una volta cambiato l’indirizzo email collegato all’account, sarebbe diventato possibile procedere con il recupero delle credenziali e ottenere il controllo del profilo Instagram.