Els ciberdelinqüents van descobrir que podien enganyar l’assistent demanant-li que canviés l’adreça de correu electrònic de restabliment de contrasenya per una en poder seu.

Fa uns dies es va conèixer que Instagram tenia un forat greu de seguretat al qual es podia accedir fent servir Meta AI, el chatbot de Meta. Aquest permetia que els ciberdelinqüents comprometessin comptes de la xarxa social només pel fet de demanar a l’assistent que vinculés la seva pròpia adreça de correu electrònic al compte objectiu. Així podien restablir la contrasenya i agafar el control del perfil. 

Aquest error va ser àmpliament compartit per la comunitat de ciberdelinqüents i va fer que nombrosos comptes de perfil alt fossin intervinguts i venuts al web fosc. Entre ells hi va haver perfils com el de la Casa Blanca d’Obama, Sephora i el sergent més gran de la Força Espacial dels EUA, John Bentivegna. 

Ara s’ha quantificat la xifra d’afectats. L’empresa de Mark Zuckerberg ha informat les autoritats sobre l’incident i ha comunicat a la Fiscalia General de Maine, als EUA, que s’haurien compromès 20.225 comptes de la xarxa social. 

Tot i això, Amber Hannah, assessora jurídica adjunta de Meta per a assumptes legals relacionats amb la resposta a incidents, ha assenyalat que el nombre podria ser inferior. 

Sembla que l’empresa ha comptabilitzat els usuaris les contrasenyes dels quals es van restablir mitjançant l’eina de suport, que no tenien l’autenticació de dos factors (2FA) activada i els comptes dels quals probablement van ser piratejats. Però es preveu que part d’aquestes haurien estat accedides pels seus propietaris legítims en lloc de per pirates informàtics. 

L‘HTS va fer massa bé la seva feina

Segons revela el comunicat, Meta va descobrir l’explotació de la seva eina High Touch Support (HTS) el 31 de maig passat. Aquesta és l’ajuda als usuaris perquè recuperin l’accés als seus comptes després que hagin estat bloquejats, però els actors d’amenaces la van fer servir per aprofitar una vulnerabilitat a l’eina per restablir les contrasenyes d’Instagram. 

«L’eina en si va funcionar correctament i segons el que estava previst; no obstant això, a causa d’un error en una ruta de codi independent, el sistema no va verificar correctament que l’adreça de correu electrònic proporcionada per la persona que sol·licitava el restabliment de contrasenya coincidís amb l’adreça de correu electrònic associada al compte d’Instagram d’aquest usuari», han explicat des de la firma de Menlo Park.

«Com a resultat, quan un usuari proporcionava una adreça de correu electrònic no associada prèviament al compte, el sistema enviava incorrectament un enllaç per restablir la contrasenya a aquesta adreça en lloc de rebutjar la sol·licitud. Això permetia que tercers no autoritzats rebessin un enllaç per restablir la contrasenya de comptes que no els pertanyien. La persona no autoritzada podia ccedir al compte si el titular no havia activat l’autenticació de dos factors (2FA)», afegeixen. 

De moment Meta no ha aclarit si els pirates informàtics van accedir a informació personal emmagatzemada als comptes que van ser compromesos. Aquests podrien haver aconseguit informació de perfil, adreces de correu electrònic, números de telèfon, dates de naixement, missatges directes, publicacions a les xarxes socials i informació sobre l’activitat del compte i l’historial d’interaccions. 

Com a mesura, el gegant tecnològic ha invalidat els enllaços de restabliment de contrasenya generats mitjançant l’explotació de la vulnerabilitat. 

Hannah també ha assegurat que Meta té previst enviar notificacions als usuaris potencialment afectats per informar-los de l’incident, recomanant-los que activin l’autenticació de dos factors.