Злом акаунтів у Instagram через чат-бота служби підтримки Meta AI – компанія вже вирішила цю проблему.

Від Катерина Бойко 148

Злом акаунтів у Instagram через чат-бота служби підтримки Meta AI - компанія вже вирішила цю проблему. 1 Вразливість дозволяла змінювати пароль без доступу до електронної пошти користувача.

Соціальна мережа Instagram, що належить компанії Meta, виправила проблему безпеки, яка давала можливість зловмисникам захоплювати чужі акаунти через чат-бота підтримки на базі штучного інтелекту Meta AI. Для проведення атаки хакерам не потрібно було мати доступ до електронної пошти, пов’язаної з обліковим записом користувача, їм було достатньо скинути пароль, повідомляє TechCrunch.

Користувачі Reddit та X повідомляли про серію викрадень акаунтів, що відбулися протягом вихідних. Серед постраждалих були як звичайні користувачі, так і публічні акаунти, зокрема сторінка Білого дому за часів адміністрації Барака Обами та акаунт головного майстер-сержанта Космічних сил США Джона Бентивеньї. Про захоплення акаунта хакерами також повідомила дослідниця в галузі кібербезпеки Джейн Вонг.

“Пароль змінили без мого відома, і я отримувала різні сповіщення про спроби скинути пароль протягом вчорашнього дня. Я неодноразово виходила з програми. Це досить тривожно”, — зазначила Вонг.

Згідно з інформацією TechCrunch, схема атаки використовувала чат-бота підтримки Meta AI. У відео, опублікованому в X, демонструвався процес, під час якого хакер спочатку змінював своє віртуальне місцезнаходження за допомогою VPN, а потім звертався до чат-бота з проханням додати нову електронну адресу до облікового запису жертви.

Після цього бот надсилав код підтвердження на електронну пошту, якою володів зловмисник. Отримавши код, хакер передавав його чат-боту, після чого система дозволяла скинути пароль і встановити новий.

Журналісти TechCrunch перевірили описаний механізм і підтвердили, що вказана у відео електронна скринька дійсно отримувала коди підтвердження від Instagram. Водночас зловмисникам не потрібно було отримувати доступ до електронної пошти, яка була прив’язана до акаунта жертви.

Представник Instagram Енді Стоун 1 червня повідомив, що проблему вже вирішено. Компанія не розкрила, скільки саме користувачів могли постраждати від цієї вразливості та скільки акаунтів було скомпрометовано.

Нещодавно зловмисники оголосили про продаж великої бази даних користувачів платформи OnlyFans, яка нібито містить близько 340 мільйонів записів. У компанії назвали ці твердження неправдивими.