Meta ha confermato una falla parecchio imbarazzante nel proprio sistema di assistenza automatizzata, quella che permetteva di fatto a degli estranei di mettere le mani su account Instagram altrui. Il problema nasceva dal cosiddetto supporto IA, lo strumento basato sull’intelligenza artificiale che dovrebbe aiutare gli utenti a recuperare l’accesso quando qualcosa va storto. Peccato che, in alcuni casi, finisse per spalancare la porta a chi non aveva alcun diritto di entrare.
Come funzionava il buco nella procedura di recupero
Il meccanismo era tanto semplice quanto preoccupante. Quando un utente chiedeva aiuto per rientrare nel proprio profilo, il sistema IA di recupero di Instagram non verificava davvero l’indirizzo e mail che veniva indicato. In pratica, bastava fornire un contatto qualsiasi durante la procedura e l’assistente automatico lo accettava senza fare troppe domande. Niente controlli incrociati, niente conferme reali sull’identità di chi stava facendo la richiesta.
A quel punto il gioco era praticamente fatto. Chi conosceva il trucco poteva avviare il reset della password e ricevere le istruzioni per cambiarla sull’e mail che aveva fornito lui stesso, non quella legittima collegata all’account. Una volta reimpostata la password, l’accesso al profilo era servito su un piatto d’argento. Tutto questo senza che il vero proprietario ricevesse necessariamente un segnale chiaro di quello che stava accadendo dietro le quinte.
L’unico vero argine, in questo scenario, era rappresentato dall’autenticazione a due fattori. Gli account che avevano attivato la cosiddetta 2FA risultavano protetti, perché anche reimpostando la password serviva comunque un secondo passaggio di verifica per completare l’accesso. Chi invece non aveva attivato questo livello aggiuntivo di sicurezza restava completamente esposto, alla mercé di chiunque conoscesse la debolezza del sistema.
Perché la 2FA fa davvero la differenza
La vicenda riporta sotto i riflettori un tema di cui si parla spesso ma che molti continuano a sottovalutare, ovvero la sicurezza degli account e l’importanza di non affidarsi alla sola password. L’autenticazione a due fattori, in casi come questo, si è rivelata l’elemento che separava un profilo violato da uno rimasto al sicuro. Non è un dettaglio da poco, considerando quanti dati personali, conversazioni e contenuti privati passano ormai attraverso un singolo profilo social.
Il fatto che la falla risiedesse proprio nello strumento pensato per aiutare gli utenti rende la cosa ancora più spinosa. L’intelligenza artificiale applicata al supporto clienti dovrebbe semplificare la vita e ridurre i tempi di attesa, ma quando salta un passaggio fondamentale come la verifica dell’identità il rischio si ribalta. Uno strumento nato per proteggere e assistere finisce per diventare il punto debole attraverso cui passa l’attacco.
Meta ha riconosciuto il problema legato a questa procedura, ammettendo che il comportamento del sistema permetteva effettivamente a soggetti non autorizzati di prendere il controllo di profili che non gli appartenevano. La conferma da parte dell’azienda chiude ogni dubbio sul fatto che non si trattasse di un caso isolato o di un’ipotesi teorica, ma di una vulnerabilità concreta legata al modo in cui il supporto IA gestiva le richieste di recupero.
Per chi utilizza Instagram quotidianamente, la lezione che emerge da questa storia è abbastanza diretta. Attivare l’autenticazione a due fattori non è un optional per smanettoni, ma una barriera che in situazioni come questa ha fatto la differenza tra restare al sicuro e ritrovarsi il profilo in mano a uno sconosciuto. Una semplice impostazione che, di fronte a un sistema automatico distratto sulla verifica delle e mail, si è dimostrata l’unica vera linea di difesa.
