Архив рубрики ~Лента новостей~

Хакеры обманули чат-бота службы поддержки Meta AI и украли аккаунты знаменитостей в Instagram.

Хакеры обманули чат-бота службы поддержки Meta AI и украли аккаунты знаменитостей в Instagram.

До того, как Meta устранила уязвимость, были украдены и перепроданы дорогие аккаунты в Instagram.

Чат-бот Meta с искусственным интеллектом оказался необычайно полезным для хакеров, стремящихся украсть и перепродать известные аккаунты Instagram — хакеры просто просили бота изменить связанные с аккаунтами адреса электронной почты, используя VPN для маскировки своего реального местоположения.

По данным 404 Media, видеоролики, демонстрирующие «шокирующе простую» уязвимость, распространяются в группах Telegram для хакеров и исследователей безопасности. Эта уязвимость позволила хакерам захватить и перепродать ценные аккаунты Instagram стоимостью в сотни тысяч долларов на сером рынке до того, как Meta выпустила экстренное обновление 29 мая. Аккаунты Белого дома Барака Обамы и главного старшего сержанта Космических сил также публиковали проиранские изображения и сообщения, пока были временно взломаны.

Злоумышленникам достаточно было использовать VPN, чтобы приблизительно сопоставить свое местоположение с регионом целевого аккаунта Instagram, запустить процесс сброса пароля, а затем попросить чат-бота поддержки Meta изменить адрес электронной почты, связанный с аккаунтом, сообщает 404 Media. Это очень простая атака с внедрением подсказки.

Neowin сообщила, что уязвимость «активна в сети уже несколько месяцев, начиная с февраля этого года, и хакеры взломали тысячи аккаунтов». Однако в последние дни эта уязвимость, похоже, привлекла больше внимания общественности после взлома аккаунтов известных личностей. Известные исследователи, такие как Джейн Манчун Вонг, также недавно сообщили о взломе своих аккаунтов.

31 мая анонимный исследователь открытых источников информации ZachXBT опубликовал на X сообщение о том, что «поддержка Meta AI — это мусор, и в ней много разрешений доступа, позволяющих сбрасывать пароли для любого пользователя без двухфакторной аутентификации и без проверки личности». В то же время исследователь Dark Web Informer описал ту же уязвимость на X, отметив, что она недавно была исправлена.

Как ZachXBT, так и Dark Web Informer подтвердили, что хакеры нацелились на особо ценные аккаунты в Instagram и перепродавали их, в том числе короткие ники @hey и @jowo, «общая стоимость которых на сером рынке оценивается более чем в 1 миллион долларов», согласно CyberSec Guru. Такие аккаунты могут быть ценными, даже если хакеры владеют ими всего несколько дней, из-за «влияния, возможности перепродажи или подделки бренда», сообщает блог по безопасности.

Широкая брешь в системе безопасности

Эксперт по кибербезопасности также описал эту уязвимость как классическую проблему «запутавшегося заместителя» из области компьютерной безопасности, когда программа с расширенными правами доступа обманом заставляется использовать эти права в интересах менее привилегированной третьей стороны. Но в данном случае «заместителем» была большая языковая модель с «вероятностной моделью реагирования, которую можно корректировать словами», а не «детерминированная программа» с «жестко закодированными условиями, которые нужно было бы обходить с помощью кода».

Стоит помнить, что у пользователей были доступны простые решения для обеспечения безопасности, даже несмотря на то, что чат-бот поддержки Meta AI был взломан. По данным KrebsOnSecurity, хакеры сообщили, что их эксплойт не сработал против любых учетных записей, в которых была включена многофакторная аутентификация (MFA), включая «наименее надежную форму MFA, которую предлагает Instagram» в виде одноразовых кодов, отправляемых по SMS.

Однако эта уязвимость по-прежнему подчеркивает более широкий риск, связанный с тем, что технологические компании и другие организации спешат внедрять агентов ИИ с расширенными правами доступа, позволяющими им изменять, создавать или удалять критически важные данные. Компания Meta запустила своего помощника поддержки Meta AI в марте 2026 года, обещая, что он сможет «обеспечивать надежную круглосуточную поддержку практически по любому вопросу в любое время».

По мнению эксперта по кибербезопасности, «минимальная» архитектура, необходимая для более безопасного выполнения этой задачи, должна включать в себя «внеполосную проверку перед любым изменением учетной записи… ограничение скорости потоков сброса, инициируемых ИИ и привязанных к сигналам риска учетной записи, регистрацию действий с обнаружением аномалий для необычных изменений учетной записи, инициируемых ИИ, и жесткий детерминированный контрольный механизм».

Источник: arstechnica.com

❌ Нет похожих статей с такими тегами

Оцените материал:

Поделиться
Понравилась статья? Расскажите другим
ВКонтакте
Читайте также
Архив рубрики ~Коротко из Telegram~ Чуваки тут составили самый детальный каталог по нейросетям — больше… Архив рубрики ~Коротко из Telegram~ Копируем шрифт с ЛЮБОГО САЙТА — бесплатный сервис Font Stealer… Архив рубрики ~Коротко из Telegram~ Ор: Google I/O 26 оказалась настолько «успешной», что популярность DuckDuckGo… Новости робототехники Tinder для интеграторов Национальная Ассоциация участников рынка робототехники (НАУРР) и… Архив рубрики ~Коротко из Telegram~ Прикоснуться к прогрессу за $3 тыс. Когда 1X показала новые… Новости робототехники Роботы захватывают прачечную Роботы и так умели складывать одежду, но… Архив рубрики ~Коротко из Telegram~ Сегодня в РСПП впервые собрался комитет по цифровым платформам, образованный… Архив рубрики ~Коротко из Telegram~ Kimi K3 уже появилась в Kimi Code CLI В документации… Архив рубрики ~Коротко из Telegram~ За январь—июнь 2026 года специалисты обнаружили в открытом доступе 54… Архив рубрики ~Коротко из Telegram~ IT-специалисты оказались среди профессий с самым высоким уровнем эмоционального выгорания…. Архив рубрики ~Коротко из Telegram~ Забавная история, которая на самом деле опирается на реальную новость:… Архив рубрики ~Коротко из Telegram~ Apple подняла официальные цены на iPhone. Пока что только в… Архив рубрики ~Коротко из Telegram~ Дизайн без ИИ-слопа и фиолетовой боли Дизайн без ИИ-слопа и… Новости робототехники Благодаря новому финансированию монументальный план привезти своих строительных роботов в США. Архив рубрики ~Коротко из Telegram~ Чуваки тут составили самый детальный каталог по нейросетям — больше… Архив рубрики ~Коротко из Telegram~ Копируем шрифт с ЛЮБОГО САЙТА — бесплатный сервис Font Stealer… Архив рубрики ~Коротко из Telegram~ Ор: Google I/O 26 оказалась настолько «успешной», что популярность DuckDuckGo… Новости робототехники Tinder для интеграторов Национальная Ассоциация участников рынка робототехники (НАУРР) и… Архив рубрики ~Коротко из Telegram~ Прикоснуться к прогрессу за $3 тыс. Когда 1X показала новые… Новости робототехники Роботы захватывают прачечную Роботы и так умели складывать одежду, но… Архив рубрики ~Коротко из Telegram~ Сегодня в РСПП впервые собрался комитет по цифровым платформам, образованный… Архив рубрики ~Коротко из Telegram~ Kimi K3 уже появилась в Kimi Code CLI В документации… Архив рубрики ~Коротко из Telegram~ За январь—июнь 2026 года специалисты обнаружили в открытом доступе 54… Архив рубрики ~Коротко из Telegram~ IT-специалисты оказались среди профессий с самым высоким уровнем эмоционального выгорания…. Архив рубрики ~Коротко из Telegram~ Забавная история, которая на самом деле опирается на реальную новость:… Архив рубрики ~Коротко из Telegram~ Apple подняла официальные цены на iPhone. Пока что только в… Архив рубрики ~Коротко из Telegram~ Дизайн без ИИ-слопа и фиолетовой боли Дизайн без ИИ-слопа и… Новости робототехники Благодаря новому финансированию монументальный план привезти своих строительных роботов в США.

Оставить комментарий