Des pirates ont utilisé le chatbot d'assistance IA de Meta pour pirater des comptes Instagram
Détournements de comptes Instagram liés au chatbot d'assistance IA de Meta
Des pirates ont exploité le chatbot d'assistance propulsé par l'IA de Meta pour accéder à des comptes Instagram, révélant un nouveau type d'attaque qui utilise un assistant automatisé comme vecteur d'intrusion.
Instagram a annoncé lundi avoir corrigé une faille de sécurité après que plusieurs utilisateurs ont signalé que leurs comptes avaient été compromis pendant le week-end. Des publications sur Reddit et X décrivaient des détournements similaires, et les comptes affectés comprenaient le compte Instagram de la Maison-Blanche de l'époque Obama, qui semble inactif depuis 2017, ainsi que le compte du chief master sergeant John Bentivegna de la U.S. Space Force.
La chercheuse en sécurité Jane Wong a déclaré que son compte avait également été détourné. « Le mot de passe a été changé sans que je le sache et j'ai reçu différentes tentatives de réinitialisation de mot de passe tout au long de la journée d'hier », a déclaré Wong. « Assez inquiétant. »
Une vidéo publiée sur X semble montrer la méthode utilisée lors des attaques. Selon la vidéo, le pirate a d'abord utilisé un VPN pour usurper l'emplacement présumé de la cible, apparemment afin d'éviter de déclencher les protections automatisées d'Instagram. L'attaquant a ensuite ouvert une conversation avec Meta AI Support Assistant et a demandé au bot d'ajouter une nouvelle adresse e-mail au compte de la victime.
Le chatbot aurait envoyé un code de vérification à l'adresse e-mail de l'attaquant, que celui-ci a ensuite retransmis au bot. Cette interaction a poussé le chatbot à afficher un bouton « Réinitialiser le mot de passe », après quoi l'attaquant a saisi un nouveau mot de passe et a pris le contrôle du compte.
TechCrunch a pu vérifier que la boîte e-mail publique de l'attaquant, montrée dans la vidéo, a bien reçu le code de vérification. L'attaque n'a pas nécessité que le pirate prenne le contrôle de l'adresse e-mail légitime liée au compte Instagram de la victime, rendant la voie vers le détournement exceptionnellement directe.
Le porte-parole d'Instagram, Andy Stone, a déclaré en réponse à Wong et à d'autres lundi que le problème avait été corrigé. On ne sait pas encore combien d'utilisateurs ont été affectés. Meta n'a pas répondu immédiatement à la demande de commentaire de TechCrunch.
Sources :
Lire plus d'actualités tech sur le Doppler VPN Blog.