Los hackers usaron el chatbot de soporte con IA de Meta para secuestrar cuentas de Instagram
Secuestros de cuentas de Instagram vinculados al bot de soporte con IA de Meta
Los hackers han estado explotando el chatbot de soporte impulsado por IA de Meta para acceder a cuentas de Instagram, exponiendo un nuevo tipo de ataque que utiliza un asistente automatizado como parte de la ruta de intrusión.
Instagram dijo el lunes que había solucionado un problema de seguridad después de que varios usuarios informaran que sus cuentas habían sido comprometidas durante el fin de semana. Publicaciones en Reddit y X describieron secuestros similares, y las cuentas afectadas incluyeron el handle de Instagram de la Casa Blanca de la era Obama, que parece haber estado inactivo desde 2017, así como la cuenta del jefe maestro sargento de la U.S. Space Force, John Bentivegna.
La investigadora de seguridad Jane Wong dijo que su cuenta también fue tomada. «La contraseña fue cambiada sin mi conocimiento y estuve recibiendo distintos intentos de restablecimiento de contraseña durante todo el día de ayer», dijo Wong. «Bastante preocupante.»
Un video publicado en X parece mostrar el método utilizado en los ataques. Según el video, el atacante primero usó un VPN para falsificar la ubicación presumida del objetivo, aparentemente para evitar activar las protecciones automáticas de Instagram. Luego el atacante abrió un chat con el Meta AI Support Assistant y pidió al bot que añadiera una nueva dirección de correo electrónico a la cuenta de la víctima.
Se informa que el chatbot envió un código de verificación a la dirección de correo del atacante, que este luego retransmitió de vuelta al bot. Esa interacción provocó que el chatbot mostrara un botón de «Restablecer contraseña», después de lo cual el atacante ingresó una nueva contraseña y se apoderó de la cuenta.
TechCrunch pudo verificar que el buzón de correo público del hacker, mostrado en el video, recibió el código de verificación. El ataque no requirió que el hacker tomara el control de la dirección de correo legítima vinculada a la cuenta de Instagram de la víctima, lo que hizo que la vía de secuestro fuera inusualmente directa.
El portavoz de Instagram, Andy Stone, dijo en respuesta a Wong y otros el lunes que el problema había sido solucionado. Aún no está claro cuántos usuarios se vieron afectados. Meta no respondió de inmediato a la solicitud de comentarios de TechCrunch.
Fuentes:
Lee más noticias tecnológicas en el Doppler VPN Blog.