Хакеры обманом заманили чат-бота и взломали 20 000 аккаунтов в Instagram.

Компания Meta с тех пор исправила эту уязвимость, но это еще один пример того, как ИИ делает это хуже, чем человек.

Хакеры обманом заставили чат-бота Meta отправить им коды для сброса пароля.

fadfebrian/Getty Images

Чуть больше недели назад чат-помощник Meta, работающий на основе искусственного интеллекта, невольно предоставил хакерам доступ к тысячам аккаунтов в Instagram, включая аккаунты таких известных личностей, как сеть магазинов косметики Sephora и главный сержант Космических сил США, а также аккаунт Барака Обамы в Белом доме.

Точное число было позже обнародовано в документах, поданных в офис генерального прокурора штата Мэн. Общее количество скомпрометированных аккаунтов составляет 20 225 (30 из которых принадлежат жителям штата Мэн).

Взлом, о котором на прошлой неделе сообщило издание 404 Media, было легко осуществить против владельцев учетных записей, не включивших двухфакторную аутентификацию. Хакеры просто попросили бота на базе ИИ изменить адрес электронной почты целевой учетной записи на свой собственный. После получения разрешения хакеры запросили сброс пароля, после чего ИИ отправил код на их личный адрес электронной почты. После проверки сброса пароля хакеры смогли получить контроль над учетной записью.

На X даже появилось отредактированное пошаговое видео процесса, демонстрирующее, как хакеры использовали VPN, чтобы создать видимость своего присутствия в местонахождении цели. При этом хакерам даже не понадобились адрес электронной почты пользователя или его первоначальный пароль.

В уведомлении об инциденте, направленном генеральному прокурору штата Мэн Аарону Фрею 5 июня, компания Meta признала наличие «уязвимости в системе восстановления учетных записей Instagram с использованием ИИ… которая была использована неавторизованными третьими лицами для сброса паролей в учетных записях пользователей Instagram».

После того, как информация об уязвимости стала достоянием общественности, многие пользователи Instagram сообщили на Reddit и X о взломе своих аккаунтов, хотя масштабы взлома на тот момент не были ясны. Представитель Meta опубликовал на X сообщение о том, что уязвимость была устранена 1 июня, вскоре после первых сообщений.

Как искусственный интеллект допустил этот взлом?

Проблема практически полностью связана с тем, что служба поддержки клиентов Meta теперь управляется искусственным интеллектом. Технологический гигант перешел на эту систему еще в марте, заявив, что это позволит обеспечить «круглосуточную помощь по вопросам, касающимся учетной записи, таким как обновление пароля и настроек профиля».

Но поскольку весь процесс обрабатывался чат-ботом с искусственным интеллектом, люди не могли вмешаться, когда начиналась подозрительная активность. Это позволило хакерам проводить атаки в стиле социальной инженерии и повторять их несколько раз, прежде чем кто-либо это заметил.

Для всех пользователей затронутых учетных записей был принудительно выполнен выход из системы, а адреса электронной почты восстановлены. Затем пользователям было предложено сбросить пароли и повторно авторизоваться. Компания Meta заявляет, что после защиты учетных записей будет отправлено второе уведомление с напоминанием о необходимости включить двухфакторную аутентификацию для предотвращения будущих атак.

Компания Meta пока не ответила на запрос о комментарии.

Как защитить себя от подобных нападений

У этой уязвимости, использующей методы социальной инженерии, был один существенный недостаток: она не работала с учетными записями, использующими многофакторную аутентификацию. В таких учетных записях код либо уже был установлен в выбранном приложении для аутентификации, либо получен по SMS. Без настройки многофакторной аутентификации одноразовый код сброса, по-видимому, отправляется на выбранный адрес электронной почты, что позволяет хакерам просто, ну, получить его.

Лучший способ защитить себя — включить многофакторную аутентификацию, которая доступна на всех платформах Meta. Она не обеспечит 100% защиты , но гораздо лучше, чем один только пароль, и полностью защитила бы от этой конкретной уязвимости.

Существуют и другие способы повышения безопасности учетной записи , включая использование паролей (если они доступны) и личного адреса электронной почты, чтобы затруднить поиск ваших учетных данных.