Instagram: Χάκερς «ξεγέλασαν» το Meta AI και άρπαξαν λογαριασμούς
Σοβαρό κενό ασφαλείας επέτρεψε την παραβίαση λογαριασμών χωρίς πρόσβαση στο email των θυμάτων, προκαλώντας νέα ερωτήματα για την αξιοπιστία της τεχνητής νοημοσύνης στην κυβερνοασφάλεια.
Το Instagram έκλεισε κενό ασφαλείας που επέτρεπε παραβιάσεις λογαριασμών μέσω του Meta AI.
Ένα σοβαρό κενό ασφαλείας στο Instagram έφερε στο προσκήνιο τους κινδύνους από την αυξανόμενη χρήση τεχνητής νοημοσύνης στις υπηρεσίες υποστήριξης χρηστών. Χάκερς κατάφεραν να αποκτήσουν πρόσβαση σε λογαριασμούς εξαπατώντας το chatbot υποστήριξης Meta AI ώστε να τους παραχωρήσει δικαιώματα επαναφοράς κωδικού.
σχετικά άρθρα
Το πρόβλημα προκάλεσε αναστάτωση σε χρήστες του Instagram και άνοιξε νέα συζήτηση για τα όρια της αυτοματοποίησης σε κρίσιμες διαδικασίες ασφαλείας.
Πώς λειτουργούσε η επίθεση
Σύμφωνα με τις πληροφορίες που δημοσιοποιήθηκαν, οι δράστες χρησιμοποιούσαν VPN για να εμφανίζονται ότι συνδέονται από περιοχή που σχετίζεται με το θύμα.
Στη συνέχεια άνοιγαν συνομιλία με το chatbot υποστήριξης της Meta και ζητούσαν την προσθήκη νέας διεύθυνσης email στον λογαριασμό του στόχου. Το σύστημα έστελνε κωδικό επαλήθευσης στη διεύθυνση που είχε δηλώσει ο χάκερ και όχι στον πραγματικό κάτοχο του λογαριασμού.
Αφού ολοκλήρωναν τη διαδικασία, αποκτούσαν τη δυνατότητα επαναφοράς κωδικού πρόσβασης και τελικά έπαιρναν τον πλήρη έλεγχο του λογαριασμού.
Δεν χρειαζόταν πρόσβαση στο email του θύματος
Το στοιχείο που ανησυχεί περισσότερο τους ειδικούς είναι ότι οι επιτιθέμενοι δεν χρειάζονταν πρόσβαση στο πραγματικό email του χρήστη.
Η διαδικασία παρέκαμπτε μία από τις βασικές δικλίδες ασφαλείας που χρησιμοποιούν οι περισσότερες πλατφόρμες για την προστασία των λογαριασμών. Αυτό σημαίνει ότι το πρόβλημα βρισκόταν στον τρόπο με τον οποίο το σύστημα τεχνητής νοημοσύνης αξιολογούσε τα αιτήματα υποστήριξης.
Γνωστά πρόσωπα ανάμεσα στα θύματα
Μεταξύ των λογαριασμών που φέρεται να επηρεάστηκαν περιλαμβάνονται το παλιό προφίλ Instagram του Λευκού Οίκου από την περίοδο της κυβέρνησης Ομπάμα, αλλά και λογαριασμοί στρατιωτικών στελεχών των ΗΠΑ.
Η γνωστή ερευνήτρια κυβερνοασφάλειας Τζέιν Γουόνγκ αποκάλυψε επίσης ότι ο δικός της λογαριασμός δέχθηκε προσπάθεια κατάληψης, με αλλαγή κωδικού πρόσβασης χωρίς τη συγκατάθεσή της.
Η Meta έσπευσε να κλείσει το κενό
Μετά τις αποκαλύψεις και τις αναφορές χρηστών στα μέσα κοινωνικής δικτύωσης, η Meta ανακοίνωσε ότι διόρθωσε το πρόβλημα.
Ο εκπρόσωπος της εταιρείας, Άντι Στόουν, επιβεβαίωσε ότι το κενό ασφαλείας έχει πλέον αντιμετωπιστεί. Ωστόσο, η εταιρεία δεν διευκρίνισε πόσοι λογαριασμοί επηρεάστηκαν ούτε πόσο χρονικό διάστημα παρέμεινε ενεργό το συγκεκριμένο πρόβλημα.
Η Ευρώπη παρακολουθεί με αυξημένη προσοχή
Η υπόθεση αποκτά ιδιαίτερη σημασία για την Ευρώπη, καθώς οι Βρυξέλλες έχουν θέσει την ασφάλεια της τεχνητής νοημοσύνης στο επίκεντρο της νομοθετικής τους πολιτικής.
Ο ευρωπαϊκός κανονισμός για την Τεχνητή Νοημοσύνη επιβάλλει αυστηρότερους ελέγχους στα συστήματα που επηρεάζουν δικαιώματα, προσωπικά δεδομένα και κρίσιμες λειτουργίες ασφαλείας.
Το περιστατικό του Instagram ενδέχεται να χρησιμοποιηθεί ως παράδειγμα των κινδύνων που προκύπτουν όταν ένα σύστημα AI αποκτά τη δυνατότητα να λαμβάνει αποφάσεις για λογαριασμούς χρηστών χωρίς επαρκείς μηχανισμούς επαλήθευσης.
Νέο καμπανάκι για την εποχή της AI
Η τεχνητή νοημοσύνη μειώνει το λειτουργικό κόστος και επιταχύνει την εξυπηρέτηση πελατών. Ωστόσο, το περιστατικό δείχνει ότι ένα λάθος στον σχεδιασμό μπορεί να μετατραπεί σε σοβαρό κενό ασφαλείας.
Καθώς όλο και περισσότερες πλατφόρμες αναθέτουν κρίσιμες λειτουργίες σε συστήματα AI, οι εταιρείες καλούνται να αποδείξουν ότι η αυτοματοποίηση δεν υπονομεύει την ασφάλεια των χρηστών.