Хакеры использовали AI-чат-бот поддержки Meta, чтобы захватить аккаунты Instagram
Захваты аккаунтов Instagram связаны с AI-ботом поддержки Meta
Хакеры эксплуатировали AI-чат-бот поддержки Meta, чтобы получить доступ к аккаунтам Instagram, выявив новую разновидность атаки, в которой автоматизированный помощник используется как часть пути вторжения.
Instagram сообщил в понедельник, что устранил уязвимость после того, как несколько пользователей сообщили о том, что их аккаунты были скомпрометированы в течение выходных. Посты на Reddit и X описывали похожие захваты, и среди пострадавших аккаунтов был аккаунт Instagram, связанный с Белым домом эпохи Обамы, который, по-видимому, неактивен с 2017 года, а также аккаунт главного мастер-сержанта Космических войск США Джона Бентивегна.
Исследователь безопасности Jane Wong заявила, что её аккаунт также был захвачен. «Пароль был изменён без моего ведома, и вчера я получала разные попытки сброса пароля», — сказала Вонг. «Это довольно тревожно».
Видео, опубликованное в X, по-видимому, показывает метод, использованный в атаках. По данным видео, хакер сначала использовал VPN, чтобы подделать предполагаемое местоположение цели, видимо, чтобы не сработали автоматические системы защиты Instagram. Затем злоумышленник открыл чат с Meta AI Support Assistant и попросил бота добавить новый адрес электронной почты к аккаунту жертвы.
Чат-бот, как сообщается, отправил код подтверждения на электронную почту злоумышленника, который затем переслал код обратно боту. Это взаимодействие побудило чат-бота показать кнопку «Reset Password», после чего атака ввёл новый пароль и захватил аккаунт.
TechCrunch смогла подтвердить, что публичный почтовый ящик хакера, показанный в видео, получил код подтверждения. Для успешной атаки злоумышленнику не требовалось получать контроль над легитимным адресом электронной почты, привязанным к аккаунту жертвы в Instagram, что сделало путь к захвату необычайно прямым.
Представитель Instagram Энди Стоун в ответ на сообщения Вонг и других в понедельник сообщил, что проблему исправили. Пока неясно, сколько пользователей было затронуто. Meta не ответила немедленно на запрос TechCrunch о комментарии.
Источники:
Читайте больше новостей технологий в Doppler VPN Blog.