Архив рубрики ~Лента новостей~

Хакеры обманули чат-бота службы поддержки Meta AI и украли аккаунты знаменитостей в Instagram.

Хакеры обманули чат-бота службы поддержки Meta AI и украли аккаунты знаменитостей в Instagram.

До того, как Meta устранила уязвимость, были украдены и перепроданы дорогие аккаунты в Instagram.

Чат-бот Meta с искусственным интеллектом оказался необычайно полезным для хакеров, стремящихся украсть и перепродать известные аккаунты Instagram — хакеры просто просили бота изменить связанные с аккаунтами адреса электронной почты, используя VPN для маскировки своего реального местоположения.

По данным 404 Media, видеоролики, демонстрирующие «шокирующе простую» уязвимость, распространяются в группах Telegram для хакеров и исследователей безопасности. Эта уязвимость позволила хакерам захватить и перепродать ценные аккаунты Instagram стоимостью в сотни тысяч долларов на сером рынке до того, как Meta выпустила экстренное обновление 29 мая. Аккаунты Белого дома Барака Обамы и главного старшего сержанта Космических сил также публиковали проиранские изображения и сообщения, пока были временно взломаны.

Злоумышленникам достаточно было использовать VPN, чтобы приблизительно сопоставить свое местоположение с регионом целевого аккаунта Instagram, запустить процесс сброса пароля, а затем попросить чат-бота поддержки Meta изменить адрес электронной почты, связанный с аккаунтом, сообщает 404 Media. Это очень простая атака с внедрением подсказки.

Neowin сообщила, что уязвимость «активна в сети уже несколько месяцев, начиная с февраля этого года, и хакеры взломали тысячи аккаунтов». Однако в последние дни эта уязвимость, похоже, привлекла больше внимания общественности после взлома аккаунтов известных личностей. Известные исследователи, такие как Джейн Манчун Вонг, также недавно сообщили о взломе своих аккаунтов.

31 мая анонимный исследователь открытых источников информации ZachXBT опубликовал на X сообщение о том, что «поддержка Meta AI — это мусор, и в ней много разрешений доступа, позволяющих сбрасывать пароли для любого пользователя без двухфакторной аутентификации и без проверки личности». В то же время исследователь Dark Web Informer описал ту же уязвимость на X, отметив, что она недавно была исправлена.

Как ZachXBT, так и Dark Web Informer подтвердили, что хакеры нацелились на особо ценные аккаунты в Instagram и перепродавали их, в том числе короткие ники @hey и @jowo, «общая стоимость которых на сером рынке оценивается более чем в 1 миллион долларов», согласно CyberSec Guru. Такие аккаунты могут быть ценными, даже если хакеры владеют ими всего несколько дней, из-за «влияния, возможности перепродажи или подделки бренда», сообщает блог по безопасности.

Широкая брешь в системе безопасности

Эксперт по кибербезопасности также описал эту уязвимость как классическую проблему «запутавшегося заместителя» из области компьютерной безопасности, когда программа с расширенными правами доступа обманом заставляется использовать эти права в интересах менее привилегированной третьей стороны. Но в данном случае «заместителем» была большая языковая модель с «вероятностной моделью реагирования, которую можно корректировать словами», а не «детерминированная программа» с «жестко закодированными условиями, которые нужно было бы обходить с помощью кода».

Стоит помнить, что у пользователей были доступны простые решения для обеспечения безопасности, даже несмотря на то, что чат-бот поддержки Meta AI был взломан. По данным KrebsOnSecurity, хакеры сообщили, что их эксплойт не сработал против любых учетных записей, в которых была включена многофакторная аутентификация (MFA), включая «наименее надежную форму MFA, которую предлагает Instagram» в виде одноразовых кодов, отправляемых по SMS.

Однако эта уязвимость по-прежнему подчеркивает более широкий риск, связанный с тем, что технологические компании и другие организации спешат внедрять агентов ИИ с расширенными правами доступа, позволяющими им изменять, создавать или удалять критически важные данные. Компания Meta запустила своего помощника поддержки Meta AI в марте 2026 года, обещая, что он сможет «обеспечивать надежную круглосуточную поддержку практически по любому вопросу в любое время».

По мнению эксперта по кибербезопасности, «минимальная» архитектура, необходимая для более безопасного выполнения этой задачи, должна включать в себя «внеполосную проверку перед любым изменением учетной записи… ограничение скорости потоков сброса, инициируемых ИИ и привязанных к сигналам риска учетной записи, регистрацию действий с обнаружением аномалий для необычных изменений учетной записи, инициируемых ИИ, и жесткий детерминированный контрольный механизм».

Источник: arstechnica.com

❌ Нет похожих статей с такими тегами

Оцените материал:

Поделиться
Понравилась статья? Расскажите другим
ВКонтакте
Читайте также
Новости робототехники Благодаря новому финансированию монументальный план привезти своих строительных роботов в США. Новости робототехники Телеуправляемый андроид Unitree G1 прооперировал свиней. Им лапароскопически удалили желчный пузырь Новости робототехники Weave Robotics запускает Айзека, своего первого представителя робота-гуманоида Новости робототехники Страх перед человекоподобными роботами подтолкнул рабочих к забастовке на автомобильном заводе Hyundai. Новости робототехники Основатель Максимо рассказывает, как робототехника строит строительство солнечной энергетики. Архив рубрики ~Обо всем~ Астрономы нашли кандидата в самый далекий галактический бар. Он существовал спустя почти 1,2 миллиарда лет после Большого Взрыва Новости робототехники По заключению Национального совета по безопасности на транспорте (NTSB), водитель Tesla, который объяснил аварию тем, что автопилот нажал на педаль газа на 100%. Новости робототехники Mondo Robotics представляет собой Beni, вездеходного робота с электрической розеткой и искусственным интеллектом для потребителей. Архив рубрики ~Обо всем~ «Парачастицы» могут стать представителями третьего царства квантовых частиц Архив рубрики ~Коротко из Telegram~ Нейросеть обучили подсчету и оценке качества семян Архив рубрики ~Коротко из Telegram~ «Комендантский час» на соцсети для подростков 16-17 лет хотят ввести… Архив рубрики ~Коротко из Telegram~ В Южной Корее создадут бесплатного ИИ-бота для всех граждан. Архив рубрики ~Коротко из Telegram~ В США 73% технических вакансий требуют навыков работы с ИИ,… Архив рубрики ~Обо всем~ Компания SpaceX внезапно прервала второй запуск Starship V3 после запуска двигателя. Новости робототехники Благодаря новому финансированию монументальный план привезти своих строительных роботов в США. Новости робототехники Телеуправляемый андроид Unitree G1 прооперировал свиней. Им лапароскопически удалили желчный пузырь Новости робототехники Weave Robotics запускает Айзека, своего первого представителя робота-гуманоида Новости робототехники Страх перед человекоподобными роботами подтолкнул рабочих к забастовке на автомобильном заводе Hyundai. Новости робототехники Основатель Максимо рассказывает, как робототехника строит строительство солнечной энергетики. Архив рубрики ~Обо всем~ Астрономы нашли кандидата в самый далекий галактический бар. Он существовал спустя почти 1,2 миллиарда лет после Большого Взрыва Новости робототехники По заключению Национального совета по безопасности на транспорте (NTSB), водитель Tesla, который объяснил аварию тем, что автопилот нажал на педаль газа на 100%. Новости робототехники Mondo Robotics представляет собой Beni, вездеходного робота с электрической розеткой и искусственным интеллектом для потребителей. Архив рубрики ~Обо всем~ «Парачастицы» могут стать представителями третьего царства квантовых частиц Архив рубрики ~Коротко из Telegram~ Нейросеть обучили подсчету и оценке качества семян Архив рубрики ~Коротко из Telegram~ «Комендантский час» на соцсети для подростков 16-17 лет хотят ввести… Архив рубрики ~Коротко из Telegram~ В Южной Корее создадут бесплатного ИИ-бота для всех граждан. Архив рубрики ~Коротко из Telegram~ В США 73% технических вакансий требуют навыков работы с ИИ,… Архив рубрики ~Обо всем~ Компания SpaceX внезапно прервала второй запуск Starship V3 после запуска двигателя.

Оставить комментарий