据社交媒体上的报道,Meta的AI支持助手正在帮助黑客获取知名Instagram账号。由于没有验证检查,Meta AI会更改与Instagram账号关联的电子邮件地址,从而允许更新密码。
Meta在去年12月推出了其AI支持助手,旨在让客户更容易获得24/7账号支持。它可用于报告诈骗、获取内容移除信息以及重置密码。而后者正是恶意行为者能够利用的地方。
Instagram的这一漏洞在周末出现在社交媒体上,并展示了获取账号访问权的简单步骤。在一个演示中,黑客要求Meta的支持机器人更改目标Instagram账号关联的电子邮件地址,而AI毫不犹豫地执行了操作。
Meta的支持没有进行强有力的身份验证,在某些情况下,它似乎绕过了双因素认证。所需的一切只是将VPN连接设置为靠近目标账号的位置,这非常简单。Meta似乎是基于位置来验证账号所有权。“我们的系统比以往任何时候都能更好地识别您通常使用的设备和熟悉的位置,”Meta关于其AI支持代理的博客文章中写道。在某些情况下,用户被要求用自拍验证身份,而这被用AI绕过。
在短时间内,该漏洞对公众可用,账号接管事件激增。一位安全研究员表示,提供黑市Instagram服务的Telegram频道借助Meta的AI“赚了大笔$$$”。404 Media称黑客从3月份起就已知晓该漏洞。
Meta在周末修复了这个问题,今天Meta通信副总裁Andy Stone表示问题已得到解决。Meta现在正在“保护受影响的账号”。
关于Instagram攻击途径的信息是在黑客成功接管Sephora、太空部队首席军士长、研究员Jane Manchun Wong、拥有@albert的开发者Albert Renshaw以及已归档的奥巴马白宫账号之后传出的。其他多个拥有理想Instagram用户名用户报告他们的账号被盗。
一些周末账号被盗的用户无法使用AI找回他们的账号,也没有选项与人工支持联系寻求帮助。
