Meta ha corregido un error de seguridad que permitía acceder a las conversaciones del 'chatbot' Meta AI con otros usuarios, filtrando sus mensajes privados y las respuestas generadas por la inteligencia artificial (IA), incluyendo texto e imágenes.
En concreto, se trata de una vulnerabilidad identificada en el proceso por el que Meta AI permite que los usuarios registrados editen sus mensajes de IA en la conversación para regenerar texto e imágenes.
Cuando un usuario edita su mensaje, los servidores 'backend' de Meta asignan un número único a dicho mensaje y a la respuesta generada por el 'chatbot'. Este número único se puede hallar analizando el tráfico de red en el navegador.
Por tanto, al cambiar un número único por otro número, los servidores de la tecnológica devolvían un mensaje y una respuesta generada por Meta AI, pero pertenecientes a otra conversación de otro usuario, posibilitando así filtrar los mensajes y la información tratada.
Así lo ha explicado el analista de seguridad, Sandeep Hodkasia, fundador de la empresa de seguridad AppSecure, en declaraciones a TechCrunch, quien ha detallado que informó de este error a Meta en diciembre del pasado año y obtuvo una recompensa de 10.000 dólares (alrededor de 8.611 euros al cambio).
Tras ello, Meta implementó una solución para este error en enero de este año y, según el investigador, no se encontraron evidencias de que dicho fallo hubiese sido explotado maliciosamente.
Con todo, según ha explicado Hodkasia, este fallo era posible porque los servidores de Meta no verificaban que el usuario en cuestión estuviera autorizado a ver el número único. Asimismo, el analista también ha detallado que los números utilizados eran sencillos y, por tanto, se podían adivinar fácilmente.
