All’IA di Meta bastava chiederlo per cedere un account Instagram

Meta aveva costruito un assistente di supporto con intelligenza artificiale per sbrigare il lavoro noioso del recupero degli account, e nell’arco di un fine settimana gli utenti hanno scoperto di poterlo convincere a consegnare account che non erano loro. Chiedendo al chatbot di aggiungere un nuovo indirizzo e-mail a un account Instagram preso di mira e poi sollecitando il cambio della password, gli aggressori si sono impossessati di profili che non gli appartenevano, compresi alcuni protetti dall’autenticazione a due fattori. Lo strumento pensato per restituire l’accesso a un account bloccato è diventato la via più rapida per chiuderne fuori il legittimo proprietario.

Il metodo era di una semplicità quasi offensiva. L’aggressore usava prima una VPN per far sembrare che la connessione arrivasse dalla zona della vittima, perché il flusso di assistenza di Meta si affidava alla posizione come segnale di fiducia. Poi apriva una chat con l’assistente e gli chiedeva di collegare all’account bersaglio un indirizzo e-mail sotto il proprio controllo. Il bot inviava un codice di verifica a quel nuovo indirizzo, l’aggressore lo incollava di nuovo nella conversazione e l’assistente rispondeva mostrando un pulsante per reimpostare la password. Una password nuova dopo, l’account cambiava mano.

Ciò che distingue questo caso da un furto di account qualsiasi è che, in realtà, non è stato forzato nulla. Niente software malevolo, nessun database di credenziali trapelato, nessuna pagina falsa travestita da schermata di accesso. È stato lo stesso strumento di assistenza della piattaforma a fare il lavoro, seguendo le istruzioni alla lettera. L’aggressore non ha sconfitto la sicurezza di Instagram, le ha chiesto cortesemente di farsi da parte, e lei si è fatta da parte.

È questa sequenza a rendere l’episodio importante per chiunque abbia un accesso a Instagram. L’autenticazione a due fattori, la protezione che gli esperti raccomandano di attivare da dieci anni, qui non è servita a niente. L’aggressore non ha mai avuto bisogno della password della vittima, del suo telefono o di un codice da un’app di autenticazione, perché l’agente di IA poteva reimpostare la password da solo. Quando un sistema di assistenza può scavalcare ogni altra serratura della porta, le serrature contano poco.

Gli account che hanno attirato più attenzione erano di alto profilo. Tra questi il profilo Instagram legato alla Casa Bianca dell’era Obama, inattivo dal 2017, e l’account di John Bentivegna, sergente maggiore capo della US Space Force. La ricercatrice di sicurezza Jane Wong, nota per smontare il codice delle app, ha visto sfumare il proprio account. La password è cambiata a sua insaputa, ha raccontato, e per un’intera giornata le sono arrivati tentativi di reimpostazione mentre l’app la disconnetteva di continuo. Utenti comuni hanno descritto la stessa cosa, anche se Meta non ha detto quanti siano stati colpiti.

L’episodio è meno un difetto in una riga di codice che una domanda su cosa sia consentito fare a questi agenti. Meta ha ampliato a inizio anno il proprio supporto basato sull’IA e ha lasciato all’assistente la gestione dei cambi di password e dei problemi di account che prima richiedevano una persona o un modulo rigido. Dare a un modello conversazionale autorità sul recupero degli account ha tolto l’attrito agli utenti veri e, come si è visto, anche a tutti gli altri. Un operatore umano forse avrebbe esitato davanti a uno sconosciuto che chiedeva di cambiare l’e-mail di un account. Il bot si è limitato a seguire il copione ricevuto.

Meta sostiene che la falla è chiusa, ma diversi elementi dovrebbero raffreddare il sollievo. L’azienda non ha rivelato quanti account siano stati presi prima della correzione, e questo lascia le vittime senza un’idea chiara del danno. Secondo 404 Media la tecnica circolava su Telegram da marzo, quindi la porta potrebbe essere rimasta aperta per settimane prima di emergere in pubblico. E il disegno di fondo, fidarsi di un segnale di posizione che una VPN può falsificare e di un giro di e-mail interamente controllato dall’aggressore, indica un modello di verifica fragile fin dall’inizio.

I ricercatori di sicurezza avvertono da tempo che gli agenti di IA collegati a sistemi reali aprono una nuova superficie d’attacco, in cui l’exploit non è codice malformato ma una richiesta convincente. È uno dei primi casi su larga scala a dimostrarlo con account di consumo quotidiani e non con una dimostrazione di laboratorio. La manipolazione non ha richiesto alcuna abilità tecnica. Ha richiesto di sapere cosa dire, di fronte a un sistema costruito per essere prima utile e solo dopo diffidente.

Per ora il consiglio pratico è poco appariscente. Chi ha notato e-mail inattese di reimpostazione della password o disconnessioni improvvise durante il fine settimana dovrebbe controllare quali indirizzi e-mail e numeri di telefono sono collegati al proprio account e rimuovere tutto ciò che non riconosce. L’autenticazione a due fattori vale ancora la pena per i molti attacchi che effettivamente ferma, anche se in questo non ha pesato nulla.

Il portavoce di Instagram, Andy Stone, ha confermato lunedì che il problema era stato risolto e che l’azienda stava mettendo in sicurezza gli account colpiti. Ciò che Meta non ha affrontato è la domanda di progettazione più ampia sollevata dal suo stesso lancio questa primavera: quanta autorità dovrebbe avere un agente automatizzato sugli account di miliardi di persone, e che cosa impedisca alla prossima conversazione di finire allo stesso modo.

Tag: cybersicurezza, meta