Компания Meta* представила своего ИИ-помощника службы поддержки в декабре с целью упростить клиентам круглосуточный доступ к поддержке аккаунтов. Его можно использовать для сообщения о мошенничестве, получения информации об удалении контента и сбросе паролей. Последняя функция и была использована злоумышленниками.
Уязвимость в Instagram* обнаружилась в социальных сетях на выходных, где появились демонстрации простых шагов для получения доступа к аккаунту. В одном из примеров хакер просил бота поддержки Meta* изменить адрес электронной почты, привязанный к целевому аккаунту Instagram* , и ИИ выполнял это без вопросов.
Служба поддержки Meta* не проводила надежной верификации личности, а в некоторых случаях, по всей видимости, обходила двухфакторную аутентификацию. Все, что требовалось, — это VPN-соединение, настроенное на местоположение, близкое к целевому аккаунту, что тривиально. Похоже, Meta* проверяла владение аккаунтом на основе местоположения. «Наши системы распознают устройство, которое вы обычно используете, и знакомые места лучше, чем когда-либо», — говорится в сообщении Meta* в блоге о ее агенте поддержки на базе ИИ. В некоторых случаях пользователей просили подтвердить личность селфи, что было обойдено с помощью ИИ.
В течение короткого периода времени эксплойт был доступен публично, и случаи захвата аккаунтов участились. Один исследователь безопасности сообщил, что Telegram-каналы, предлагающие услуги по взлому Instagram* на черном рынке, «заработали много денег» благодаря ИИ Meta*. Сообщается, что хакеры знали об уязвимости еще с марта.
Meta* устранила проблему на выходных, и сегодня вице-президент Meta* по коммуникациям Энди Стоун заявил, что проблема исправлена. Сейчас Meta* «обеспечивает безопасность затронутых аккаунтов».
Информация о векторе атаки на Instagram* появилась после того, как хакеры смогли захватить аккаунты Sephora, Главного Мастер-сержанта Космических сил, исследователя Джейн Манчун Вонг, разработчика Альберта Реншоу, владевшего @albert, и архивного аккаунта Белого дома Барака Обамы. Несколько других пользователей с желанными никнеймами в Instagram* сообщили о захвате своих аккаунтов.
Некоторые пользователи, чьи аккаунты были украдены на выходных, не смогли использовать ИИ для их восстановления, и не было возможности связаться с живым оператором для получения помощи.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Juli Clover
