Instagram ha solucionado un problema de seguridad de cuentas. Según un informe de TechCrunch, los atacantes pudieron, durante un tiempo, agregar nuevas direcciones de correo electrónico a cuentas de otras personas al inducir al bot de atención al cliente de IA de Meta, lo que desencadenaba posteriormente la restablecimiento de contraseñas y permitía el apoderamiento de las cuentas.
Varios usuarios informaron que sus cuentas fueron comprometidas.
Este incidente generó atención durante el fin de semana. Varios usuarios en Reddit y X afirmaron que sus cuentas fueron comprometidas, incluyendo la cuenta de Instagram de la Casa Blanca durante el gobierno de Obama y la cuenta del Sargento Mayor Principal de la Fuerza Espacial de EE. UU., John Bentinvegna. La investigadora de seguridad Jane Wong también indicó que su cuenta fue modificada y tomada sin su conocimiento.
El flujo de ataque elude el control del correo electrónico original
Los informes indican que los atacantes primero se disfrazaron de la ubicación objetivo mediante una VPN para reducir la probabilidad de activar los controles de riesgo automáticos de la plataforma. Luego, los atacantes iniciaron una conversación con el Asistente de Soporte de Meta AI, solicitando agregar una nueva dirección de correo electrónico a la cuenta objetivo.
En el video de demostración, el bot de servicio al cliente envía el código de verificación al correo electrónico proporcionado por el atacante. Luego, el atacante ingresa nuevamente el código de verificación en el bot, y el sistema muestra el botón "Restablecer contraseña". Una vez completado este paso, el atacante puede establecer una nueva contraseña y tomar el control de la cuenta.
TechCrunch indicó que verificó el correo electrónico expuesto en el video y confirmó que efectivamente recibió el código de verificación. En todo el proceso, el atacante no necesitaba primero controlar el correo electrónico originalmente vinculado a la víctima.
Meta indica que la vulnerabilidad ha sido reparada
El portavoz de Instagram, Andy Stone, respondió el lunes en la plataforma social que el problema ya ha sido solucionado. Sin embargo, Meta aún no ha especificado cuántos usuarios fueron afectados.
Según lo revelado hasta ahora, este incidente revela que, si las herramientas de atención al cliente con IA tienen permiso para modificar información clave de la cuenta y los procesos de verificación de identidad son insuficientes, podrían utilizarse para tomar el control de cuentas. Meta no respondió inmediatamente a la solicitud adicional de comentarios de TechCrunch al momento de la publicación del informe.