Meta lanzó el pasado diciembre la vista previa de su nuevo asistente IA para dar soporte a los usuarios que querían recuperar sus cuentas con un proceso sencillo y más rápido tras haber sido bloqueadas en Facebook e Instagram. En marzo se desplegó la versión final con el lanzamiento oficial de la herramienta, que ha estado disponible desde entonces en Estados Unidos y Canadá.
El fin de semana pasado, varios investigadores de seguridad compartieron en X (antes Twitter) lo fácil que había sido sustraer las credenciales de las cuentas de usuarios de Instagram a través del nuevo asistente de IA de Meta, ya que no verificaba ni identidad ni autenticación multifactor, en caso de tenerla activada.
Los 'hackers' descubrieron que el 'chatbot' de Meta basaba la confirmación de la cuenta según la ubicación del usuario, así que lo único que tuvieron que hacer fue usar una VPN para demostrar a la IA que su dirección física encajaba con la del usuario para terminar de ejecutar el proceso de sustracción de la cuenta.
Además, el 'exploit' conllevaba una serie de pasos sencillos. En una conversación con el 'chat' de soporte de IA de Meta, al pedirle que vincule la cuenta objetivo con una nueva dirección de correo electrónico, la IA enviaba un código de ocho dígitos a la dirección de correo electrónico suministrada por el hacker.
Una vez el 'hacker' introducía ese código, recibía un correo con el restablecimiento de contraseña, lo que le daba acceso directo a la cuenta.
La aparición de esta vulnerabilidad coincide con una serie de comportamientos extraños de ciertas cuentas de Instagram como la del expresidente estadounidense Barack Obama de la Casa Blanca, la del Jefe del Estado Mayor de la Fuerza Espacial o la cuenta de Sephora.
Meta ya ha solucionado problema. "El problema ha sido resuelto y estamos asegurando las cuentas impactadas", escribó este lunes el vicepresidente de Comunicaciones de Meta, Andy Stone, publicó este lunes en su cuenta de X.
La compañía no ha proporcionado información adicional de lo ocurrido, y se desconoce el número de cuentas que han podido verse afectadas, pero según 404 Media, varios usuarios llevaban avisando de la vulnerabilidad en Telegram desde marzo.