Meta notificó a 20.225 personas que sus cuentas de Instagram fueron secuestradas durante una campaña de hackeo que duró cerca de dos meses y que abusó de una vulnerabilidad en el chatbot de inteligencia artificial de la compañía. Los atacantes aprovecharon un fallo en el sistema de recuperación de cuentas asistido por IA para restablecer contraseñas de usuarios que no tenían la autenticación en dos pasos activada, según una notificación de filtración de datos presentada el viernes ante la oficina del fiscal general de Maine.
El mecanismo era sencillo: bastaba con pedirle al chatbot que enviara el código de verificación a un correo controlado por el pirata en lugar del correo legítimo del titular, y el sistema obedecía. Meta explicó que la herramienta funcionó como estaba previsto, pero un error en una ruta de código separada no verificó que la dirección de correo proporcionada coincidiera con la asociada a la cuenta.
Los atacantes pudieron tomar el control total de las cuentas afectadas y de las vinculadas, accediendo a datos de contacto, fechas de nacimiento, perfiles, publicaciones, mensajes directos y actividad. Meta aseguró haber desactivado el chatbot y eliminado la ruta de código defectuosa, y que está revisando otros chatbots de sus plataformas para evitar que se repita el incidente. La compañía reconoció desconocer qué información personal específica fue consultada durante los ataques. La campaña comenzó alrededor del 17 de abril y se extendió hasta esta semana, cuando Meta asegura haber contenido el fallo. Entre los afectados figuran 30 residentes de Maine.