Meta AI ha mostrato il suo lato più scomodo, quello che nessuno vorrebbe trovarsi davanti aprendo una chat di assistenza. Una falla nel sistema di supporto basato sull’intelligenza artificiale permetteva infatti di mettere le mani sui codici di recupero di account Instagram che non appartenevano a chi li richiedeva. Tradotto in parole povere: bastava chiedere nel modo giusto, e l’assistente automatico finiva per consegnare le chiavi di casa a un perfetto sconosciuto.
Il meccanismo è tanto semplice quanto preoccupante. Un attaccante, fingendosi un utente in difficoltà, poteva avviare una conversazione con il supporto IA e, attraverso una serie di richieste costruite ad arte, ottenere informazioni che avrebbero dovuto restare blindate. Tra queste, appunto, i codici necessari per recuperare l’accesso a un profilo. A quel punto il passo verso il furto vero e proprio dell’account diventava brevissimo.
Come funziona il raggiro dietro la falla di Meta AI
Il punto debole sta nel modo in cui l’assistente Meta AI gestisce le richieste legate al recupero degli account. Invece di verificare con rigore l’identità di chi sta dall’altra parte dello schermo, il sistema si lascia guidare dalle indicazioni dell’interlocutore. E qui casca l’asino. Una frase apparentemente innocua, qualcosa tipo “cambia questa email”, poteva diventare la leva per dirottare il processo di recupero verso un indirizzo controllato dall’attaccante.
Il risultato è che il legittimo proprietario del profilo si ritrova tagliato fuori, senza nemmeno accorgersene nell’immediato. Chi ha orchestrato l’attacco, dal canto suo, prende il controllo del account Instagram e può farne quello che vuole: leggere messaggi privati, pubblicare contenuti, contattare i follower fingendosi la vittima. Uno scenario che apre la porta a truffe a catena, dove un account compromesso diventa il trampolino per colpirne altri.
Non è ancora chiaro se Meta abbia messo una pezza definitiva al problema. La mancanza di una conferma ufficiale lascia gli utenti in una posizione scomoda, perché non sapere se una vulnerabilità sia stata chiusa significa, di fatto, doversi muovere come se fosse ancora lì.
Cosa fare subito per proteggere il proprio profilo
In situazioni come questa, l’unica mossa sensata è non aspettare che sia qualcun altro a risolvere il problema. La protezione a due fattori resta lo scudo più efficace contro tentativi di questo tipo. Attivarla significa aggiungere un secondo livello di verifica, di solito un codice generato sul proprio telefono, che rende molto più complicato per un estraneo portare a termine il furto dell’account.
Il funzionamento è intuitivo. Anche se un malintenzionato riuscisse a ottenere le credenziali o a manipolare il processo di recupero, senza quel secondo codice si troverebbe comunque davanti a un muro. È una barriera che non garantisce l’immunità assoluta, ma alza parecchio l’asticella e scoraggia la maggior parte degli attacchi. Vale la pena dedicare due minuti alle impostazioni di sicurezza di Instagram e controllare che la autenticazione a due fattori sia effettivamente attiva. Conviene anche tenere d’occhio eventuali email sospette che segnalano cambi di indirizzo o richieste di recupero mai avviate: spesso sono il primo segnale che qualcuno sta provando a entrare dove non dovrebbe.