Meta ha confermato che il supporto IA concedeva ad estranei l’accesso agli account Instagram

di

Sergio Donato

Il sistema IA di recupero di Instagram non verificava l’e-mail indicata dall’utente. Senza 2FA, estranei potevano reimpostare la password e accedere agli account

Meta ha confermato alle autorità statunitensi che una falla nel sistema di recupero degli account Instagram ha permesso a soggetti non autorizzati di ricevere link per reimpostare la password di profili altrui. È il passaggio che mancava dopo le prime segnalazioni circolate nei giorni scorsi: con la comunicazione inviata al procuratore generale del Maine, l’azienda ha di fatto ammesso l’esistenza del problema.

Secondo la notifica, gli account potenzialmente coinvolti sono 20.225, riferiti ovviamente a quelli del Maine, e di importanza relativa su scala globale. Meta ha precisato di aver incluso gli utenti per i quali la password è stata reimpostata tramite lo strumento di supporto, senza 2FA attiva, e con accessi ritenuti compatibili con un abuso. Alcuni accessi, però, potrebbero essere stati effettuati dai legittimi proprietari.L’elemento di vulnerabilità è stato lo strumento High Touch Support assistito dall’IA, che serviva ad aiutare gli utenti bloccati fuori dal proprio account, e permetteva di chiedere l’invio di un link di reset a un indirizzo e-mail. Per un errore in un percorso separato del codice, il sistema non verificava però correttamente che l’indirizzo indicato corrispondesse a quello associato all’account Instagram. Il link poteva quindi arrivare a un’e-mail esterna e, in assenza di autenticazione a due fattori, consentire l’accesso al profilo.