L'assistente del supporto di Meta AI ha aiutato criminali informatici e malintenzionati a violare una lunga serie di account Instagram di alto profilo, tra cui quello degli archivi della Casa Bianca di Barack Obama, da oltre 2 milioni di follower, del Sergente Maggiore Capo della Space Force John F. Bentivegna, dell'esperta di tecnologia Jane Manchun Wong e del noto marchio beauty Sephora. A fare luce sulla questione è 404 Media, che ha rivelato come i cybercriminali stiano sfruttando l'assistente virtuale per modificare le credenziali associate agli account ed acquisirne la proprietà.Secondo quanto segnalato dalle vittime, infatti, una volta che l'account viene hackerato, non solo è impossibile accedervi, ma lo è anche sottoporre il problema a un operatore umano. “Ho passato 6 ore a cercare di ottenere assistenza da un operatore umano, ma l'AI di Meta mi ha fornito 4 link non funzionanti di fila - ha lamentato uno degli utenti colpiti su X -. Siamo arrivati al punto in cui un'AI mi ha rubato l'account e un'altra non riesce a risolvere il problema, senza alcun intervento umano”. A partire dallo scorso Marzo, infatti, Meta ha delegato l'assistenza degli utenti al suo chatbot AI che, “a differenza dei centri assistenza tradizionali”, può aiutarli “a eseguire azioni concrete: dalla reimpostazione della password alla segnalazione di contenuti problematici”. Una funzionalità che, a quanto pare, si è rivelata tutt'altro che funzionale ai fini della sicurezza.La strategiaSemplice ed efficace, la strategia adottata dai criminali informatici per rubare decine di account Instagram sfrutta una vulnerabilità dell'assistente del supporto Meta AI, mettendo ben evidenza quali siano i rischi di affidare compiti tanto sensibili all'intelligenza artificiale. Come segnalato da ricercatori ed esperti di sicurezza su X, Telegram e Reddit, i malintenzionati non fanno altro che chiedere al chatbot di collegare il profilo che vogliono hackerare a un indirizzo email di loro proprietà, inviandogli un codice di verifica. Per esaudire la richiesta, l'AI invia all'indirizzo un codice di 8 cifre, che i criminali utilizzano per reimpostare la password ed entrare definitivamente in possesso dell'account. “Il metodo consente agli autori degli attacchi di assumere il controllo degli account utilizzando una VPN per allinearsi alla regione del paese dell’account, avviando una procedura di reimpostazione della password e poi convincendo l’assistenza AI di Meta a cambiare l’indirizzo e-mail”, segnala uno degli esperti del settore su Telegram, secondo quanto riportato da 404 Media, facendo notare quanto la vulnerabilità dell'AI della compagnia sia utile ai fini criminali.La risposta di MetaLa rivelazione, come è facile immaginare, ha messo subito in moto la gigantesca macchina di Meta, che è corsa ai ripari per evitare che i suoi utenti - soprattutto quelli di altro profilo - incappassero in problemi di privacy e sicurezza. “Il problema è stato risolto e stiamo mettendo in sicurezza gli account interessati”, ha dichiarato ieri in un post pubblicato su X Andy Stone, portavoce della compagnia, che ha tenuto a precisare che le accuse secondo cui la vulnerabilità del chatbot sarebbe stata sfruttata per hackerare gli account di leader mondiali sono “assolutamente false”. Eppure, nonostante Meta abbia rassicurato gli utenti di aver risolto la questione, una dichiarazione dell'esperta di tecnologia e sicurezza Jane Manchun Wong, ex dipendente della società madre di Facebook e Instagram, sembra dire il contrario. “Anche il mio account Instagram è stato hackerato. La password è stata cambiata senza che io lo sapessi e ieri ho ricevuto vari tentativi di reset della password. E sono stato ripetutamente disconnessa dall'app Instagram per iOS. È piuttosto preoccupante”, ha scritto ieri la Wong su X, sollevando dubbi sulla reale risoluzione della vulnerabilità da parte della compagnia.