Los hackers explotaron una vulnerabilidad en el sistema de recuperación de Instagram impulsado por IA de Meta para apoderarse de cuentas de alto perfil, incluido el perfil archivado de la Casa Blanca de Obama, abusando de los flujos de trabajo automatizados de soporte utilizados para restaurar el acceso a cuentas bloqueadas. Meta ha parcheado el fallo y confirmado que las cuentas afectadas están siendo protegidas.
Según researchers varios informes de seguridad, los atacantes descubrieron que podían manipular al asistente de soporte de IA de Meta para modificar los detalles de recuperación de cuentas sin superar las verificaciones normales. En algunos casos, el sistema supuestamente permitía a los atacantes adjuntar una nueva dirección de correo electrónico a la cuenta de Instagram de una víctima, creando un camino para restablecer contraseñas y tomar el control de los perfiles.
Los investigadores describieron el problema como un fallo lógico dentro del flujo de trabajo automatizado de recuperación de Meta, más que como una brecha en la infraestructura de autenticación de Instagram. Según se informa, los atacantes no necesitaban contraseñas, malware ni acceso directo a los sistemas Meta. En cambio, aprovecharon las debilidades del propio proceso de soporte impulsado por IA.
Una de las víctimas más visibles fue la cuenta de Instagram de @obamawhitehouse, un perfil archivado que preservaba contenido de la administración Obama. La cuenta mostró brevemente publicaciones no autorizadas antes de que Meta eliminara el contenido y restaurara el acceso. Los informes indicaron que algunas de las publicaciones hacían referencia a temas políticos y sectarios.
Los investigadores indicaron que otros objetivos incluían marcas corporativas, perfiles de influencers, nombres de usuario raros “OG” y cuentas empresariales con grandes audiencias. Supuestamente, vídeos compartidos en línea demostraron cómo los atacantes podían aprovechar el flujo de trabajo de recuperación para controlar cuentas con nombres de usuario valiosos.
Los investigadores también encontraron pruebas que sugieren que algunos atacantes usaron servicios VPN y suplantaron datos de ubicación para que las solicitudes de recuperación parecieran más legítimas. En ciertos casos, el asistente de IA supuestamente aceptó información limitada de la cuenta como prueba suficiente de propiedad antes de procesar cambios sensibles en la cuenta.
Investigadores de seguridad señalaron que el exploit permitió a los atacantes eludir algunas protecciones de autenticación en dos factores porque el ataque se dirigía al proceso de recuperación de la cuenta en lugar del propio sistema de inicio de sesión. Una vez modificada la información de recuperación, los atacantes podían restablecer contraseñas y bloquear el acceso a usuarios legítimos a sus cuentas.
Meta confirmó que la vulnerabilidad se había corregido tras la difusión de informes de toma de control de cuentas en Internet. La empresa afirmó que estaba protegiendo las cuentas afectadas y deshabilitando el comportamiento de recuperación vulnerable, pero no ha revelado cuántos usuarios se vieron afectados ni cuánto tiempo permaneció activa la falla antes de ser parcheada.