Chatbot AI di Meta aprono le porte di Instagram agli hacker: cosa sta succedendo?

Un assistente virtuale progettato per aiutare gli utenti a recuperare l’accesso ai propri account Instagram è stato sfruttato per settimane da attaccanti che hanno preso il controllo di svariati profili.

Diverse fonti giornalistiche hanno documentato come il chatbot di supporto abbia permesso la modifica degli indirizzi email associati agli account e il successivo reset delle password, trasformando una funzione di assistenza in un vettore di compromissione.

L’incidente, emerso all’inizio di giugno 2026, solleva questioni pratiche di non poco conto: quale livello di responsabilità devono assumere le aziende che delegano operazioni sensibili ad agenti AI? Quali garanzie tecniche e processuali sono necessarie per ridurre rischi sistemici?

Come avveniva l’attacco e perché ha funzionato

Le ricostruzioni pubblicate indicano una procedura semplice ma efficace.

L’attaccante avviava il normale flusso di recupero account e usava il chatbot di Meta per richiedere l’associazione di un nuovo indirizzo email controllato da lui.

Ricevuto il codice di verifica sulla casella indicata, completava il reset e prendeva possesso dell’account. Per aumentare la probabilità di successo, molti criminali usavano VPN per simulare una posizione coerente con quella storica dell’utente, riducendo i controlli di localizzazione e le segnalazioni automatiche.

Dimostrazioni dell’exploit sono circolate in canali dove ricercatori e operatori del cybercrime hanno documentato la facilità dell’operazione. La compromissione ha riguardato anche profili di alto valore, tra cui account istituzionali e username rari commercialmente rilevanti, indicando che il difetto è stato sfruttato non solo per puro vandalismo ma anche per ottenere profitto da tali interventi.

Conseguenze, mitigazioni efficaci e lezioni per i progettisti

L’incidente è stato descritto come una forma moderna del problema del confused deputy: un sistema con privilegi esegue azioni per conto di chi non possiede gli stessi diritti.

La probabilità di errore aumenta quando un modello linguistico prende decisioni basate su segnali probabilistici senza barriere deterministiche. Dalle evidenze raccolte emerge che l’adozione dell’autenticazione a più fattori ha limitato significativamente i danni; account protetti con MFA risultavano molto più difficili da compromettere.

Per ridurre rischi analoghi, gli esperti raccomandano misure operative e tecniche precise: separare i canali di verifica dall’interfaccia conversazionale; imporre regole di non esecuzione per modifiche critiche senza approvazione umana; registrare e supervisionare tutte le operazioni dell’assistente; integrare rilevamento delle anomalie basato su segnali comportamentali e contesto; limitare privilegi e applicare il principio del minimo privilegio. Inoltre, test di penetrazione continui e bounty program focalizzati su flussi di assistenza automatizzata possono identificare deviazioni comportamentali prima che siano sfruttate su larga scala.

Meta ha comunicato di aver corretto la vulnerabilità e di lavorare per proteggere gli account coinvolti. Tuttavia l’evento fornisce una lezione più ampia: automatizzare operazioni sensibili senza adeguati vincoli aumenta la superficie d’attacco complessiva.