Un error desastrós ha estat comès per la IA de Meta, en concret, amb el seu chatbot de suport a Instagram que va permetre un robatori de comptes que ascendeix a més de 20.000. El problema es va donar a conèixer just quan es va descobrir el hackeig de diversos perfils de famosos i marques. S'han pogut saber més detalls gràcies a la documentació que les autoritats dels Estats Units exigeixen davant un cas de seguretat que afecti les dades dels seus ciutadans.
Meta va presentar el tràmit davant l'Oficina del Fiscal General de Maine. Va ser una estratègia ben duta a terme, començant amb connexions VPN que van permetre simular la ubicació dels propietaris, per la qual cosa no hi va haver una barrera de protecció inicial. Al final, van aconseguir fer diversos canvis rellevants per apropiar-se dels comptes. Aquest procediment va ser revelat per Bleeping Computer que va tenir evidència del robatori d'un compte.
Instagram i la seva IA, víctimes d'un hackeig estratègic que van deixar milers d'usuaris sense els seus comptes
Després de poder establir contacte mitjançant una VPN, van aconseguir evadir la clàssica barrera d'Instagram respecte a la seguretat. El següent pas era entaular la conversa amb el chatbot de suport d'IA de Meta. Se sol·licitava canviar l'adreça de correu electrònic de recuperació que està vinculada a aquests comptes. Sense cap problema, el chatbot realitzava les mesures de verificació i proporcionava el codi de verificació en el nou correu establert pel hacker. Un pas indispensable sembla que va ser saltat i és la verificació en dos passos; el propietari del compte quedava fora completament del procediment i, pel que sembla, els comptes vulnerables no comptaven amb aquesta autenticació de seguretat.
Això no va ocórrer de la nit al dia; les operacions van començar el 17 d'abril, per la qual cosa ja porten diversos mesos duent a terme aquestes activitats. La situació sembla estar de nou sota control, segons el VP de comunicacions de Meta, Andy Stone. Es va pronunciar al respecte indicant que els incidents havien estat resolts assegurant els comptes afectats.
Meta no va tenir altra opció que desactivar els seus propis sistemes de suport respecte als chatbots i va anul·lar qualsevol enllaç de restabliment de compte que va ser generat per la IA. Es van protegir els comptes i, perquè els usuaris poguessin reprendre el control, van ser obligats a verificar la seva identitat i canviar les contrasenyes, com si es tractés d'una targeta bancària nova. El chatbot amb IA en suport no tornarà aviat, sinó fins que pugui corregir la vulnerabilitat amb la qual va ser condicionat. No és possible que es pugui col·locar qualsevol correu electrònic per restablir una contrasenya. Per a una següent ocasió, es garantirà que el correu electrònic coincideixi amb el propietari del compte.
Després del succés, faran una revisió a consciència dels processos de recuperació de compte en totes les seves plataformes, incloent-hi WhatsApp i Threads. La idea és que es pugui identificar i donar solució a qualsevol futur problema com el que va esdevenir amb Instagram. Pràcticament, la IA de Meta no està llesta per afrontar veritables problemes de seguretat. Necessita ser revisada també i evitar que pugui donar un accés no autoritzat a qualsevol persona.