Meta ha confermato che una vulnerabilità nel sistema di supporto AI ha portato al furto di dati di oltre 20.000 account Instagram.

Rivelazione del problema

Il problema è stato individuato nell'ambito del sistema di ripristino degli account assistito dall'assistente AI il 31 maggio, benché l'incidente risalga al 17 aprile. Il sistema interessato, chiamato HTS (High Touch Support), è uno strumento che permette agli utenti di richiedere un link per reimpostare la password via email.

I criminali informatici hanno sfruttato una falla nel sistema che permetteva loro di richiedere e ricevere i link di ripristino senza dover fornire un indirizzo email uguale a quello associato all’account. Questo ha permesso loro di resettare le password e accedere ai conti. Tuttavia, la maggior parte degli utenti aveva l’autenticazione a due fattori disattivata, rendendo il furto più semplice.

Dati compromessi

Meta non è riuscita ad identificare con esattezza i dati che sono stati rubati, ma ha fornito un elenco di informazioni che potrebbero avere incluso nell’attacco:

    • Indirizzo email
    • Numero di telefono
    • Data di nascita
    • Post e altri contenuti
    • Messaggi diretti
    • Cronologia e attività
    • Biografia e foto del profilo
    • Account connessi e servizi collegati

Risanamento del sistema

Dopo la rivelazione, Meta ha immediatamente disattivato il tool HTS e invalidato tutti i link di ripristino che circolavano all'epoca dell'attacco. L’azienda ha inoltre invitato tutti gli utenti a cambiare la password per garantire una maggiore sicurezza. Il sistema HTS sarà ripristinato soltanto dopo la correzione del grave bug.

Comunicazione ufficiale

Secondo un rapporto ufficioso inviato all'Ufficio del Procuratore Generale del Maine, sono stati complessivamente interessati 20.225 account. La vulnerabilità potrebbe inoltre aver portato alla perdita di informazioni aggiuntive, come numeri di telefono e indirizzi email utilizzati per la funzione di ripristino.

La società ha precisato di non sapere con esattezza se siano stati coinvolti account europei. Nel caso in cui fosse confermata la presenza di tali account, l’Autorità Irlandese potrebbe avviare un’indagine per violazione del GDPR (Regolamento Generale sulla Protezione dei Dati).

Altre vulnerabilità

The CyberSec Guru ha riportato di una seconda vulnerabilità riscontrata su Instagram, che ha esposto i numeri di telefono e gli indirizzi email di recuperi legati agli account. Si è però successivamente verificato che il bug fosse già stato corretto.

Nuove minacce

    • Un worm AI autonomo e diffusivo potrebbe costituire minacce crescenti in futuro.
    • OpenAI ha introdotto un "Lockdown Mode" per proteggere i suoi modelli AI da attacchi di prompt injection.
    • Vari esperti ribadiscono l'importanza di attivare l'autenticazione a due fattori.

Fonti

I dettagli più completi sull’incidente sono stati raccolti da Bleeping Computer. La notizia è stata analizzata e pubblicata in maniera esaustiva da The CyberSec Guru, con aggiornamenti regolari su nuove vulnerabilità scoperte.

La vulnerabilità rivelata richiama una crescente attenzione sulla cybersecurity da parte di aziende tecnologiche e autorità di regolamentazione, per prevenire incidenti simili in futuro.