Meta ha confermato l'esistenza di una vulnerabilità nel sistema di recupero degli account Instagram che avrebbe consentito a soggetti non autorizzati di ottenere link per reimpostare la password di altri utenti. La conferma è arrivata attraverso una comunicazione inviata alle autorità statunitensi, dopo le segnalazioni emerse nei giorni scorsi sulla presenza di anomalie nel supporto automatizzato della piattaforma.
Il problema riguardava uno strumento assistito dall'intelligenza artificiale utilizzato per aiutare gli utenti impossibilitati ad accedere al proprio profilo. Secondo quanto emerso, un errore nella gestione delle verifiche permetteva al sistema di inviare il link di recupero anche a indirizzi e-mail non associati all'account Instagram originale.
La vulnerabilità nel supporto IA di Instagram
Meta ha spiegato che la falla coinvolgeva il sistema "High Touch Support", uno strumento progettato per facilitare il recupero degli account bloccati. Durante la procedura era possibile richiedere l'invio di un link per il reset della password a un indirizzo e-mail indicato manualmente dall'utente. Il problema nasceva dal fatto che una parte separata del codice non verificava correttamente la corrispondenza tra l'e-mail inserita e quella realmente collegata al profilo Instagram. In pratica, un soggetto esterno poteva ricevere il link di recupero anche senza avere accesso all'indirizzo originale dell'account.
La vulnerabilità diventava particolarmente critica nei casi in cui l'utente non avesse attivato l'autenticazione a due fattori. Senza il secondo livello di sicurezza, infatti, il link di reset poteva essere sufficiente per modificare la password e ottenere l'accesso completo al profilo.
Secondo la documentazione inviata al procuratore generale del Maine, Meta ha individuato 20.225 account potenzialmente coinvolti nello Stato americano. L'azienda precisa però che il numero non rappresenta necessariamente tutti gli account compromessi a livello globale e che alcuni accessi classificati come sospetti potrebbero essere stati effettuati dai legittimi proprietari.
Meta afferma di avere già disattivato lo strumento interessato dalla vulnerabilità e invalidato i link generati attraverso il bug. Gli account coinvolti sono stati sottoposti a controlli di sicurezza obbligatori e le password sono state reimpostate per ridurre il rischio di ulteriori accessi non autorizzati. Resta però poco chiaro quali dati siano stati effettivamente consultati dagli eventuali intrusi. Non ci sono conferme ufficiali sull'accesso a messaggi privati, contenuti archiviati o altre informazioni personali presenti nei profili colpiti.
Tra gli episodi segnalati nei giorni scorsi figurava anche la compromissione dell'account archivio della Casa Bianca dell'era Obama, distinto comunque dal profilo personale dell'ex presidente statunitense.
Per conoscere i dettagli della nostra policy editoriale, è disponibile la pagina etica.
