Durante lo scorso fine settimana numerosi account Instagram sono stati violati, come segnalato da molti utenti attraverso piattaforme come X, Reddit e Telegram. Tra le vittime: l’account della Casa Bianca durante la presidenza di Barak Obama, inattivo dal 2017, quello del Sergente Maggiore Capo della U.S. Space Force, John Bentivegna, e la ricercatrice di sicurezza Jane Wong.

Su Reddit e X centinaia le segnalazioni di utenti: account compromessi, password cambiate senza preavviso, profili riempiti di immagini e messaggi pro-Iran.

Il primo pensiero è quello di un sofisticato attacco informatico in grado di compromettere qualunque account Instagram, ma la realtà è ben diversa.

Non si tratta di alcun exploit sofisticato. Gli hacker avevano trovato un modo per usare il chatbot di assistenza di Meta contro gli utenti della stessa azienda. Il metodo circolava già da ore su alcuni canali Telegram prima che i primi account Instagram iniziassero a cadere.

Come sono stati rubati gli account Instagram

Il procedimento è semplice: è sufficiente utilizzare una connessione via VPN con un indirizzo IP vicino alla città della vittima per eludere i sistemi automatici di protezione della piattaforma, per poi avviare una chat con l’assistente AI di Meta.

A quel punto l’attaccante chiedeva al bot di aggiungere un nuovo indirizzo e-mail all’account della vittima.

Il bot inviava un codice di reset all’indirizzo aggiunto dall’attaccante, consentendogli di prendere il controllo dell’account senza accedere all’email della vittima.

Un video pubblicato dagli stessi hacker mostra il processo passo per passo e la testata giornalistica TechCrunch ha verificato l’efficacia della tecnica documentata anche al link sotto riportato.

La logica dietro l’utilizzo di chatbot per il supporto utenti da parte di Meta è comprensibile, almeno sulla carta. Instagram ha un’infrastruttura di supporto umano che è stata più volte criticata dall’utenza per la scarsa efficacia: recuperare un account bloccato può richiedere settimane di scambi con sistemi automatizzati.

Per rendere più semplice il recupero degli account, Meta ha introdotto un assistente basato sull’intelligenza artificiale in grado di gestire operazioni comuni come il ripristino della password, il collegamento di un nuovo indirizzo email e la verifica della proprietà di un profilo. L’obiettivo era aiutare gli utenti che avevano perso l’accesso ai propri account.

Tuttavia, quando si semplificano questi processi, il rischio è che anche i cyber criminali possano sfruttarli più facilmente per tentare di prendere il controllo degli account altrui.

Ed è esattamente quello che è accaduto nello scorso weekend.

Anche i bot AI sono vulnerabili al social engineering

Il parallelo con il social engineering tradizionale è diretto. Così come un operatore umano può essere manipolato per fornire accesso non autorizzato, un bot AI è ugualmente disponibile ad aiutare e altrettanto vulnerabile alla persuasione.

I chatbot basati su AI stanno introducendo una nuova superficie di attacco che molte organizzazioni stanno ancora imparando a comprendere. Se un assistente virtuale può eseguire operazioni sensibili come il recupero di account o la modifica di impostazioni, diventa inevitabilmente un obiettivo per gli attaccanti.

La differenza rispetto a un operatore umano è soprattutto la scala: un chatbot non si stanca, non perde la pazienza e non nota comportamenti sospetti a meno che non sia stato progettato per farlo. Un errore logico o un controllo insufficiente possono quindi essere sfruttati migliaia di volte in modo automatizzato, trasformando una semplice debolezza in un problema di sicurezza su larga scala.

Secondo quanto riportato dal popolare giornalista e investigatore Brian Krebs, lo stesso canale Telegram che aveva diffuso il video del metodo ha pubblicato anche screenshot degli account violati, rivendicando di aver usato la tecnica non solo per scopi politici ma anche per impossessarsi di profili Instagram con nomi brevi e rari, ad esempio con username da una o due caratteri, che nel mercato grigio dei nomi utente vale decine di migliaia di dollari ciascuno.

Il valore totale dichiarato superava il mezzo milione di dollari. In altre parole: parte degli attacchi non era propaganda filoiraniana, ma semplice furto di asset digitali con un mercato di rivendita ben rodato.

Doppia autenticazione, la migliore soluzione difensiva

Meta ha corretto il problema lo scorso lunedì e il portavoce dell’azienda, Andy Stone, ha confermato su X la risoluzione e la messa in sicurezza degli account colpiti. Nessuna compromissione del database della piattaforma, secondo quanto dichiarato dal portavoce.

Al momento non è chiaro quale sia il numero esatto di account violati con questa tecnica.

La difesa c’era ed era banale. Qualsiasi forma di autenticazione a due fattori, anche quella meno robusta via SMS, avrebbe bloccato l’attacco. Gli stessi hacker lo hanno confermato nel video: il metodo non funzionava sugli account con autenticazione multi-fattore (MFA) attiva.

Se il vostro account Instagram non è protetto da MFA, il consiglio è di attivarla quanto prima.