Хакери змогли обманути AI-підтримку Meta, що дозволило їм захопити кілька акаунтів Instagram, включаючи деякі високопрофільні. Серед них акаунти Білого дому, Військово-космічних сил США та дослідника безпеки Джейн Вонг.
Оновлення: Meta тепер підтвердила, що близько 20 000 акаунтів були скомпрометовані і пояснила, які кроки були вжиті у відповідь…
Хакери обманули AI-чат-бота Meta
У одному з тих моментів, коли «не можна повірити», хакери змогли обманути AI-чат-бота підтримки Meta, дозволивши їм проводити скидання паролів на акаунтах Instagram інших людей. Метод атаки був надзвичайно простим.
- Вони почали процес скидання пароля
- Коли їх запитали, який метод вибрати, вони обрали AI-підтримку Meta
- Вони попросили чат-бота додати нову електронну адресу до акаунта
- Чат-бот зробив це без запитань, незважаючи на те, що вони не були увійшли в цей акаунт
- Чат-бот надіслав код на нову електронну адресу
- Вони використали цей код, щоб змінити пароль
- Цей процес також вивів власника акаунта з усіх його пристроїв
Dark Web Informer опублікував відео з експлуатацією в дії.
TechCrunch повідомляє, що жертвами стали деякі високопрофільні акаунти Instagram.
Скомпрометовані акаунти включають Instagram-акаунт Білого дому епохи Обами, який, здається, був неактивним з 2017 року; а також акаунт головного сержанта Військово-космічних сил США Джона Бентівенья. Дослідник безпеки Джейн Вонг також повідомила, що її акаунт Instagram був захоплений.
Приблизно 20 000 акаунтів скомпрометовано
SecurityWeek повідомляє, що Meta тепер підтвердила, що близько 20 225 акаунтів Instagram були скомпрометовані. Невелика кількість з них могла бути справжніми запитами користувачів, але переважна більшість буде хакерськими.
Атакуючі могли отримати профільну інформацію, електронні адреси, номери телефонів, дати народження, прямі повідомлення, публікації в соціальних мережах та інформацію про активність акаунта і історію взаємодії.
Соціальна мережа вимкнула зловмисний інструмент і знову активує його лише після того, як переконається, що вразливість усунена. Посилання для скидання паролів, створені шляхом експлуатації вразливості, були анульовані. Крім того, постраждалі акаунти були зараховані до обов’язкового контрольного пункту безпеки, і їх паролі були скинуті.
Meta повідомила власникам постраждалих акаунтів.
Цікавий факт
Цей випадок підкреслює важливість безпеки в соціальних мережах, адже навіть найсучасніші технології можуть бути обмануті.
