Meta AI doveva semplificare la vita agli utenti di Instagram, e invece si è ritrovata a fare da complice ai pirati informatici. Una storia che ha dell’incredibile: il chatbot di supporto sviluppato da Meta è stato ingannato e usato per rubare decine di account, alcuni dei quali tutt’altro che secondari. L’ironia, qui, è servita su un piatto d’argento.
Viviamo nell’epoca dell’intelligenza artificiale, e va detto che tra i tanti utilizzi discutibili degli assistenti automatici, i bot di supporto sembravano una delle applicazioni più sensate. Sembravano, appunto. Perché quando lo strumento pensato per aiutare diventa la falla nel muro, qualcosa è andato storto sul serio.
Come Meta AI cambiava gli indirizzi email associati a Instagram
Il metodo è talmente banale da lasciare a bocca aperta. Possibile che una vulnerabilità del genere esistesse davvero? Le prime segnalazioni sono arrivate nel weekend, accompagnate da vere e proprie dimostrazioni passo passo su come prendere il controllo di un account qualsiasi.
In un caso, il pirata ha semplicemente chiesto a Meta AI di cambiare l’indirizzo email collegato a un account Instagram preso di mira. E il bot ha eseguito. Niente password, niente verifica in due passaggi. Nulla di nulla.
L’unica cosa che serviva per far funzionare il trucco, a quanto pare, era una connessione VPN con una posizione vicina a quella dell’account bersaglio. Il sistema verifica infatti queste richieste in base alla geolocalizzazione. E non è che Meta lo nasconda: anzi, sul proprio blog dichiara con un certo orgoglio che i suoi sistemi riconoscono meglio che mai il dispositivo abituale e le posizioni familiari. Peccato che proprio questo meccanismo sia diventato il punto debole.
In alcuni casi Meta AI chiedeva una verifica tramite selfie. Ostacolo aggirato senza troppi problemi, usando un’altra intelligenza artificiale per generare una foto del proprietario dell’account. Praticamente, l’AI contro l’AI.
Account Instagram di peso finiti nelle mani sbagliate
Non parliamo di profili qualunque. Tra gli account Instagram rubati ci sono nomi pesanti: Sephora, il Chief Master Sergeant della Space Force, la ricercatrice Jane Manchun Wong, lo sviluppatore Albert Renshaw, proprietario dello storico @albert, e perfino l’account archiviato della Casa Bianca dell’era di Barack Obama.
Vittime tutt’altro che banali, insomma. E accanto a queste, una lunga scia di utenti comuni che hanno visto sparire i propri profili senza poterci fare granché.
Il bot di supporto basato sull’intelligenza artificiale era stato lanciato da Meta a dicembre dell’anno scorso, con l’idea di rendere tutto più semplice per chi usa Instagram. E, va da sé, anche per risparmiare sui costi degli operatori umani in carne e ossa.
Lo strumento può essere usato in vari modi: segnalare truffe, informarsi sulle ultime funzioni e, soprattutto, resettare le password. Ed è proprio quest’ultima funzione ad aver mostrato la sua fragilità, diventando il varco perfetto per chi voleva entrare.