Hackers probablemente secuestraron más de 20,000 cuentas de Instagram con el chatbot de IA de Meta
Es una reportera que cubre las guerras de streaming, tecnología de consumidor, criptomonedas, redes sociales y mucho más. Anteriormente fue escritora y editora en MUO.
Los posts de esta autora se agregarán a tu resumen diario de correo electrónico y a tu feed de inicio.
Hackers probablemente se apoderaron de 20,225 cuentas de Instagram usando el chatbot de soporte de IA de Meta, confirmó la compañía en un aviso presentado ante el estado de Maine. En el aviso, detectado anteriormente por Bleeping Computer, Meta culpa a un "bug" del exploit que permitió a los atacantes secuestrar cuentas sin autenticación de dos factores simplemente pidiendo al chatbot un reinicio de contraseña:
La herramienta en sí funcionó correctamente y operó como se esperaba; sin embargo, debido a un bug en una ruta de código separada, el sistema no verificó correctamente que la dirección de correo electrónico proporcionada por la persona que solicitaba el reinicio de contraseña coincidiera con la dirección de correo electrónico asociada a la cuenta de Instagram del usuario. Como resultado, cuando una persona proporcionaba una dirección de correo electrónico no asociada previamente a la cuenta, el sistema incorrectamente enviaba un enlace de reinicio de contraseña a ese correo no asociado en lugar de rechazar la solicitud. Esto permitió que terceros no autorizados recibieran un enlace de reinicio de contraseña para cuentas que no poseían.
Meta dice que el ataque surgió por primera vez el 31 de mayo, con Andy Stone, jefe de comunicaciones de Meta, diciendo que la compañía "resolvió" el incidente el 1 de junio. Durante este tiempo, varias cuentas de Instagram de alto perfil fueron impactadas, incluyendo la antigua cuenta de la Casa Blanca del expresidente Barack Obama, el Sargento Maestro John F. Bentivegna de la Fuerza Espacial de Estados Unidos, y Sephora. En el aviso, Meta añade que no tiene "conocimiento" de si se accedió a datos personales como resultado del exploit, pero señala que los secuestradores de cuentas podrían haber obtenido direcciones de correo electrónico, números telefónicos, fechas de nacimiento, posts de redes sociales, mensajes directos, información de perfil, actividad de cuenta y cuentas conectadas.
El aviso dice que 30 de los usuarios impactados vivían en Maine. El número se refiere a "usuarios cuyas contraseñas fueron reiniciadas a través de la herramienta de soporte, no tenían 2FA habilitado en su cuenta y cuyas cuentas de Instagram probablemente fueron accedidas por una parte no autorizada" —aunque Meta dice que es un "límite superior", ya que algunas de estas cuentas pueden haber sido accedidas legítimamente.
La compañía señala que deshabilitó su herramienta de soporte de IA y eliminó la ruta de código defectuosa, mientras invalidaba cualquier enlace de reinicio de contraseña generado usando el exploit. También inscribió todas las cuentas potencialmente impactadas "en un punto de control de seguridad obligatorio que requiere autenticación antes de cualquier acceso a la cuenta."
