해커들이 메타의 인공지능 지원 챗봇을 이용해 인스타그램 계정 탈취
메타 인공지능 지원 봇과 연관된 인스타그램 계정 탈취
해커들이 메타의 인공지능 지원 챗봇을 악용해 인스타그램 계정에 접근하는 사례가 보고되면서, 자동화된 도우미가 침입 경로의 일부로 이용되는 새로운 유형의 공격이 드러났다.
인스타그램은 월요일 몇몇 사용자가 주말 사이 계정이 탈취되었다고 보고한 후 보안 문제를 수정했다고 밝혔다. 레딧과 X에 올라온 게시물들은 유사한 탈취 사례들을 묘사했으며, 영향을 받은 계정에는 2017년 이후 활동이 없는 것으로 보이는 오바마 행정부 시절의 백악관 인스타그램 핸들과 미국 우주군(U.S. Space Force) 총병장(Chief Master Sergeant) 존 벤티베그나(John Bentivegna)의 계정이 포함되어 있었다.
보안 연구원 제인 웡(Jane Wong)은 자신의 계정도 탈취되었다고 밝혔다. 웡은 “비밀번호가 제 지식 없이 변경됐고 어제 내내 다른 비밀번호 재설정 시도가 계속 있었습니다”라고 말했다. “상당히 우려스럽습니다.”
X에 게시된 한 비디오는 공격에 사용된 방법을 보여주는 것으로 보인다. 해당 영상에 따르면, 해커는 먼저 VPN을 사용해 대상자의 추정 위치를 속였는데, 이는 인스타그램의 자동 보호 장치를 작동시키지 않기 위한 것으로 보인다. 공격자는 그다음 메타 인공지능 지원 어시스턴트(Meta AI Support Assistant)와 채팅을 열고 봇에게 피해자 계정에 새로운 이메일 주소를 추가해 달라고 요청했다.
챗봇은 보고에 따르면 공격자의 이메일 주소로 인증 코드를 전송했고, 공격자는 그 코드를 다시 봇에게 전달했다. 그 상호작용은 챗봇이 “Reset Password” 버튼을 표시하게 만들었고, 이후 공격자는 새 비밀번호를 입력해 계정을 장악했다.
테크크런치(TechCrunch)는 영상에 나온 해커의 공개 이메일 사서함이 실제로 인증 코드를 수신한 것을 확인할 수 있었다. 이 공격은 해커가 피해자의 인스타그램 계정에 연결된 정당한 이메일 주소를 장악할 필요가 없었기 때문에, 탈취 경로가 평소보다 훨씬 직접적이었다.
인스타그램 대변인 앤디 스톤(Andy Stone)은 월요일 웡과 다른 사용자들에게 해당 문제가 수정되었다고 답했다. 몇 명의 사용자가 영향을 받았는지는 아직 불분명하다. 메타는 테크크런치의 논평 요청에 즉각 응답하지 않았다.
출처:
더 많은 기술 뉴스를 Doppler VPN Blog에서 읽어보세요.