La herramienta en sí funciona bien y funciona como debería; sin embargo, debido a un error en una ruta de código separada, el sistema no verificó adecuadamente que la dirección de correo electrónico proporcionada por la persona que solicitaba restablecer la contraseña coincidiera con la dirección de correo electrónico asociada con la cuenta de Instagram de ese usuario. Como resultado, cuando alguien proporcionaba una dirección de correo electrónico que no estaba previamente asociada con la cuenta, el sistema enviaba incorrectamente un enlace para restablecer la contraseña al correo electrónico no relacionado en lugar de rechazar la solicitud. Esto permite que terceros no autorizados reciban enlaces para restablecer la contraseña de cuentas que no les pertenecen.
Meta dijo que el ataque surgió por primera vez el 31 de mayo, cuando el jefe de comunicaciones de Meta, Andy Stone, la empresa dijo “resolvió” el incidente el 1 de junio. Durante este período, varias cuentas de Instagram de alto perfil se vieron afectadas, incluida la antigua cuenta de la Casa Blanca del ex presidente Barack Obama, el sargento mayor de la Fuerza Espacial de EE. UU. John F. Bentivegna y Sephora. En el aviso, Meta agregó que “no sabe” si se accedió a algún dato personal como resultado del exploit, pero señaló que los secuestradores de cuentas pudieron obtener direcciones de correo electrónico, números de teléfono, fechas de nacimiento, publicaciones en redes sociales, mensajes directos, información de perfil, actividad de la cuenta y cuentas conectadas.
El aviso indica que 30 de los usuarios afectados viven en Maine. La cifra se refiere a “usuarios cuyas contraseñas se restablecieron a través de la herramienta de soporte, no tenían 2FA habilitado en sus cuentas y a cuyas cuentas de Instagram probablemente accedieron personas no autorizadas”, aunque Meta dijo que este es un “límite superior”, ya que algunas de estas cuentas pueden haber sido accedidas legítimamente.
La compañía señaló que deshabilitó la herramienta de soporte de IA y eliminó la ruta del código problemático, al tiempo que canceló el enlace de restablecimiento de contraseña generado mediante el exploit. También inscribió todas las cuentas potencialmente afectadas “en puntos de control de seguridad obligatorios que requieren autenticación antes de cualquier acceso a la cuenta”.
