Instagram si è ritrovato al centro di un attacco informatico tanto banale quanto clamoroso: un gruppo di hacker è riuscito a impossessarsi di migliaia di account semplicemente chiedendo un favore a Meta AI. Niente codici complessi, niente sofisticati strumenti di intrusione. È bastato dialogare con il chatbot di assistenza e convincerlo a fare il lavoro sporco. Tra i profili finiti nel mirino ce ne sono alcuni di peso non indifferente, come quello della Casa Bianca, della Space Force statunitense e della ricercatrice di sicurezza Jane Wong.
A conti fatti, la stessa Meta ha poi ammesso che gli account presi di mira sarebbero circa 20 mila. Un numero che fa capire quanto la falla fosse ampia e quanto, almeno per un certo periodo, sia rimasta sfruttabile senza grossi ostacoli.
Come funzionava il trucco con il chatbot
La cosa più sorprendente di questa vicenda è la semplicità della procedura. Chi ha analizzato l’attacco ha ricostruito un metodo in 7 passaggi, alla portata di chiunque avesse capito il meccanismo. Tutto partiva da una normale procedura di reimpostazione della password, quella che chiunque ha usato almeno una volta dopo aver dimenticato le proprie credenziali.
Il punto debole stava nella scelta del metodo. Tra le opzioni disponibili compariva infatti il Meta AI Support Assistant, e qui cominciava il bello. Gli hacker chiedevano al chatbot di aggiungere un nuovo indirizzo email all’account, e il sistema lo faceva all’istante, senza fare troppe domande. Una richiesta che, in teoria, dovrebbe scattare allarmi a non finire, eseguita invece come se fosse la cosa più normale del mondo.
Da lì in poi il gioco era praticamente fatto. Sul nuovo indirizzo email arrivava un codice monouso, che veniva subito usato per cambiare la password. Il risultato? Il legittimo proprietario veniva disconnesso da tutti i suoi dispositivi, ritrovandosi tagliato fuori dal proprio profilo nel giro di pochissimo. Un attacco pulito, rapido e devastante nella sua linearità.
Un video mostra l’exploit in azione
A rendere ancora più concreta la portata di questa falla di sicurezza ci ha pensato la diffusione su X di un filmato che mostrava l’intero exploit mentre veniva eseguito passo dopo passo. Vedere la procedura in movimento aiuta a capire quanto fosse immediato il meccanismo, e quanto poco servisse per mandarlo a segno.
Il fatto che a cadere siano stati anche profili istituzionali di primissimo livello, come quelli legati ad ambienti governativi e militari statunitensi, racconta bene quanto possa essere pericoloso affidare operazioni delicate a un assistente basato sull’intelligenza artificiale senza i giusti controlli. Una funzione pensata per semplificare la vita degli utenti si è trasformata, almeno in questo caso, in una porta spalancata per chi voleva entrare dove non doveva.
La vicenda riguardante gli account Instagram hackerati riporta sotto i riflettori un problema che gli esperti sollevano da tempo: i sistemi automatizzati, per quanto comodi, vanno blindati con la stessa attenzione riservata a qualsiasi altro punto di accesso. Quando un chatbot ha il potere di modificare le impostazioni di sicurezza di un profilo, basta una sola crepa nel suo funzionamento per aprire scenari del genere. Meta, dal canto suo, ha riconosciuto l’entità del problema confermando il numero degli account coinvolti, segno che la dinamica ricostruita corrisponde a quanto realmente accaduto sulla piattaforma.
