Come Meta ha dovuto fermare un attacco a oltre 20.000 account Instagram
Se usi Instagram, la misura più utile è attivare subito l’autenticazione a due fattori (2FA) e verificare che email e numero di telefono associati al profilo siano corretti. Meta ha corretto una falla nel sistema di recupero account assistito da AI che ha permesso a criminali informatici di prendere il controllo di oltre 20.000 profili.[1][2]
Cosa è successo
Meta ha confermato che un difetto nel flusso di supporto High Touch Support (HTS), usato per aiutare gli utenti a recuperare l’accesso agli account bloccati, ha consentito a terze parti non autorizzate di avviare reset della password su Instagram.[1] In pratica, il sistema non verificava in modo corretto che l’indirizzo email inserito da chi richiedeva il recupero corrispondesse davvero a quello già associato all’account.[1]
Quando la verifica falliva, il sistema poteva inviare il link di reset a un’email non collegata al profilo invece di rifiutare la richiesta.[1] Questo ha permesso agli attaccanti di ricevere il link, impostare una nuova password e accedere agli account, soprattutto quando il proprietario non aveva attivato la 2FA.[1]
Meta ha dichiarato che i takeover accertati sono stati 20.225.[1]
Perché il problema è rilevante
L’episodio è importante perché non riguarda un furto di password tradizionale, ma una debolezza nel processo di recupero dell’account, cioè uno dei punti più delicati della sicurezza di un servizio online.[1] Anche un sistema progettato per semplificare l’assistenza può diventare un bersaglio se le verifiche identitarie non sono sufficientemente robuste.[1][4]
Secondo le informazioni rese pubbliche, Meta non ha evidenza di quali dati siano stati effettivamente consultati nei profili compromessi.[1] Tuttavia, le informazioni potenzialmente esposte potevano includere contatti, date di nascita, foto, video, storie, messaggi diretti, attività dell’account, dati del profilo e servizi collegati.[1]
Come gli attaccanti avrebbero sfruttato la falla
Le segnalazioni circolate in comunità di sicurezza e su piattaforme social hanno descritto una tecnica sorprendentemente semplice da eseguire.[1] In diversi video condivisi online, gli attaccanti interagivano con l’assistente AI di supporto di Meta e cercavano di far collegare l’account bersaglio a un indirizzo email controllato da loro.[1]
In alcuni casi, secondo quanto riportato, venivano usate VPN per apparire nella stessa area geografica generale del proprietario dell’account prima di richiedere il recupero.[1] Questo non significa che la geolocalizzazione fosse l’unico fattore, ma mostra che gli attaccanti cercavano di rendere la richiesta più credibile agli occhi del sistema.[1]
Tra gli account presi di mira sarebbero comparsi profili di alto profilo e username brevi, spesso considerati particolarmente preziosi nei mercati clandestini.[1]
Cosa ha fatto Meta dopo la scoperta
Meta ha riferito di aver identificato la vulnerabilità il 31 maggio e di aver disattivato lo strumento di supporto assistito da AI coinvolto nell’incidente.[1] L’azienda ha inoltre invalidato i link di reset generati tramite il flusso difettoso, richiesto autenticazioni aggiuntive per gli account potenzialmente colpiti e invitato gli utenti interessati a cambiare la password.[1]
Prima di riattivare il servizio, Meta ha dichiarato che correggerà il controllo di autenticazione nel punto di ingresso del recupero di Instagram, in modo da verificare correttamente gli indirizzi email rispetto alle informazioni già presenti sull’account.[1] La società ha anche avviato una revisione più ampia dei flussi di recupero account sulle proprie piattaforme per individuare vulnerabilità simili.[1]
Cosa dovrebbero fare gli utenti adesso
- Attivare la 2FA se non è già stata configurata.
- Controllare l’email di recupero associata a Instagram.
- Verificare il numero di telefono collegato all’account.
- Cambiare la password se si notano accessi sospetti o richieste di recupero inattese.
- Esaminare le sessioni attive e disconnettere dispositivi sconosciuti.
- Non approvare richieste di reset che non sono state avviate personalmente.
Per gli utenti comuni, il punto chiave è questo: se il recupero dell’account viene compromesso, l’intero profilo può essere preso in ostaggio rapidamente. Per questo motivo, i controlli di sicurezza di base restano fondamentali, anche quando una piattaforma promette processi automatizzati e assistenza intelligente.[1][5]
Perché l’AI nel supporto può creare nuovi rischi
L’introduzione di sistemi AI nei flussi di assistenza può migliorare la velocità di risposta e ridurre il carico sui team umani, ma aumenta anche la superficie di attacco se le regole di verifica non sono progettate in modo rigoroso.[1][4][6] In particolare, i processi di recupero account richiedono controlli aggiuntivi perché consentono di bypassare, in parte, le normali barriere d’accesso.
Questo caso mostra un problema classico della sicurezza applicata all’automazione: se il sistema prende una decisione errata su identità e proprietà dell’account, il danno non è un semplice disservizio, ma un possibile takeover completo.[1]
Cosa insegna questo episodio a chi gestisce una piattaforma
Le piattaforme che affidano parte del supporto a sistemi automatizzati dovrebbero trattare il recupero account come un processo ad alto rischio, non come una semplice procedura di assistenza.[1][2] Le verifiche devono essere coerenti in tutti i percorsi del backend, soprattutto quando una richiesta modifica email di recupero, password o fattori di autenticazione.
Inoltre, i meccanismi di sicurezza non dovrebbero fare affidamento su un solo segnale, come l’email inserita in fase di supporto, ma combinare più controlli prima di concedere un reset.[1] Nel caso di Instagram, proprio un bug in un percorso separato ha impedito la corretta corrispondenza tra l’email richiesta e quella già presente nel profilo.[1]
What users should watch for
Anche senza conoscere i dettagli tecnici, è utile riconoscere alcuni segnali di allarme:
- ricezione di email di reset non richieste;
- perdita improvvisa dell’accesso all’account;
- modifiche a email, numero di telefono o password che non sono state eseguite dall’utente;
- accessi da dispositivi o aree geografiche insolite;
- disconnessione improvvisa da più sessioni.
Se compare uno di questi segnali, agire subito è essenziale: cambiare password, rimuovere sessioni sospette, controllare i metodi di recupero e aprire una richiesta di assistenza ufficiale.
Technical Deep Dive
Il cuore dell’incidente riguarda un problema di authorization bypass nel flusso di recupero account. Il sistema HTS funzionava come strumento di assistenza, ma un bug in un percorso separato impediva la corretta validazione tra l’email inserita in fase di richiesta e l’email effettivamente associata all’account Instagram.[1] Quando il controllo di binding identità-account fallisce, il sistema può trattare come legittima una richiesta proveniente da un soggetto non autorizzato.[1]
Dal punto di vista architetturale, il difetto è particolarmente grave perché colpisce un endpoint ad alto impatto: il reset della password. Se un aggressore riesce a controllare il canale di recupero, ottiene indirettamente il controllo dell’account senza dover superare la password originale.[1] In assenza di 2FA, il takeover può avvenire subito dopo il reset.[1]
Meta ha indicato di aver disattivato il tool vulnerabile, invalidato i link di reset generati nel flusso compromesso e aggiunto ulteriori controlli per gli account potenzialmente interessati.[1] Ha anche annunciato una revisione più ampia dei processi di account recovery per cercare vulnerabilità analoghe sulle sue piattaforme.[1]
Per i team tecnici, questo incidente evidenzia alcuni requisiti fondamentali: validazione server-side rigorosa, controlli coerenti tra microservizi o code path distinti, audit dei flussi di recupero, logging completo delle richieste di reset e protezione forte con fattori multipli prima di consentire modifiche sensibili.[1][2][6] Nei sistemi che usano AI per assistere il supporto, l’AI non dovrebbe mai essere l’unico decisore sull’identità; deve operare dentro confini di autorizzazione deterministici e verificabili.[1][4]
Un altro punto critico è la separazione tra usabilità e fiducia. Rendere il recupero account più rapido può ridurre l’abbandono da parte degli utenti, ma se il percorso è troppo permissivo il costo viene trasferito sulla sicurezza. Questo caso dimostra che l’equilibrio corretto richiede controlli più forti proprio nei momenti in cui il sistema sembra voler semplificare al massimo l’esperienza.
Fonte: https://www.helpnetsecurity.com/2026/06/08/instagram-ai-support-vulnerability-account-takeovers/
