Name: Doppler VPN
Brand: Doppler VPN
Price: 6.99 USD
Availability: InStock

השתלטויות על חשבונות אינסטגרם שקשורות לצ'אטבוט התמיכה של מטא

האקרים מנצלים את צ'אטבוט התמיכה של מטא המבוסס בינה מלאכותית כדי לקבל גישה לחשבונות אינסטגרם, חשיפת סוג חדש של התקפה המשתמש בעוזר אוטומטי כחלק מנתיב החדירה.

אינסטגרם הודיעה ביום שני כי היא תיקן בעיית אבטחה לאחר שכמה משתמשים דיווחו שהחשבונות שלהם הופרו במהלך סוף השבוע. הודעות ברדיט ובאיקס תיארו השתלטויות דומות, והחשבון שנפגעים כללו את הטיפולוג לעמוד האינסטגרם של בית הלבן מתקופת אובמה, שנראה שלא פעיל מאז 2017, כמו גם את החשבון של מאסטר סרג'נט בכיר בכוח החלל של ארצות הברית, ג'ון בנטיביגנה.

חוקרת אבטחה בשם ג'יין וואנג אמרה שגם החשבון שלה נגנב. “הסיסמה שונתה בלי ידיעתי וקיבלתי ניסיונות איפוס סיסמה שונים לאורך אתמול,” אמרה וואנג. “מדאיג למדי.”

וידאו שהועלה באיקס נראה כמציג את השיטה ששימשה בהתקפות. לפי הווידאו, ההאקר השתמש תחילה ב-VPN כדי לזייף את מיקום היעד הנראה, כנראה כדי להימנע מהפעלת ההגנות האוטומטיות של אינסטגרם. התוקף אז פתח צ'אט עם עוזר התמיכה של מטא המבוסס בינה מלאכותית וביקש מהבוט להוסיף כתובת אימייל חדשה לחשבון הקורבן.

הצ'אטבוט שלח לכאורה קוד אימות לכתובת האימייל של התוקף, שהתוקף העביר חזרה לבוט. אינטראקציה זו הובילה להצגת כפתור "אפס סיסמה", ולאחר מכן התוקף הזין סיסמה חדשה והשתלט על החשבון.

טקקראנץ הצליחה לאמת שתיבת הדואר הציבורית של ההאקר, שמוצגת בווידאו, קיבלה את קוד האימות. ההתקפה לא דרשה מההאקר להשתלט על כתובת האימייל הלגיטימית הקשורה לחשבון אינסטגרם של הקרבן, מה שהפך את מסלול ההשתלטות לישיר מהרגיל.

דוברת אינסטגרם, אנדי סטון, אמרה בתגובה לוואנג ולאחרים ביום שני כי הבעיה תוקנה. עדיין לא ברור כמה משתמשים נפגעו. מטא לא הגיבה מיד לבקשת תגובה מטקקראנץ.

מקורות:

טקקראנץ

קראו עוד חדשות טכנולוגיה ב-Doppler VPN Blog.