Meta potwierdza zhakowanie tysięcy kont Instagram przez nadużycie chatbota AI

Meta potwierdza, że tysiące kont Instagram zostało zhakowanych przez nadużycie chatbota AI firmy. Hakerzy wykorzystali lukę w systemie odzyskiwania kont, która pozwalała na resetowanie haseł poprzez oszukanie sztucznej inteligencji. Według oficjalnego powiadomienia o naruszeniu danych, opublikowanego przez serwis This Week in Security, atak dotknął co najmniej 20 225 użytkowników.

Kampania hakerska trwała od kwietnia do początku tego tygodnia, kiedy Meta zabezpieczyła podatny system. Złośliwy kod wykorzystywał błąd w chatbocie AI, który można było nakłonić do wysyłania kodów weryfikacyjnych na adresy e-mail kontrolowane przez przestępców, zamiast na adresy właścicieli kont.

Kluczowe wnioski

• Co najmniej 20 225 kont Instagram zostało przejętych przez hakerów wykorzystujących lukę w chatbocie AI Meta.
• Atak trwał od 17 kwietnia do początku grudnia 2024, gdy Meta zabezpieczyła system.
• Hakerzy mogli resetować hasła do kont bez dwuskładnikowego uwierzytelniania, oszukując chatbota AI.
• Meta tymczasowo wyłączyła chatbota AI i usuwa kod odpowiedzialny za podatność.
• Przejęcie kont dawało dostęp do wiadomości prywatnych, postów, danych kontaktowych i informacji profilowych.

Mechanizm ataku na chatbota AI

Luka bezpieczeństwa znajdowała się w systemie odzyskiwania kont wspomaganym przez sztuczną inteligencję. Jak wyjaśnia Meta w oficjalnym powiadomieniu, „narzędzie samo w sobie działało prawidłowo i funkcjonowało zgodnie z przeznaczeniem; jednak z powodu błędu w oddzielnej ścieżce kodu, system nie weryfikował poprawnie, czy adres e-mail podany przez osobę żądającą resetowania hasła odpowiadał adresowi e-mail powiązanemu z kontem użytkownika Instagram”.

W rezultacie, gdy ktoś podał adres e-mail niepowiązany wcześniej z kontem, system błędnie wysyłał link do resetowania hasła na ten niepowiązany adres, zamiast odrzucić żądanie. Pozwalało to nieuprawnionym osobom na otrzymanie linku do resetowania hasła dla kont, których nie posiadały.

Hakerzy wykorzystywali tę lukę, zadając chatbotowi odpowiednie pytania, które wprowadzały go w błąd. Bot wysyłał wtedy kod weryfikacyjny na adres e-mail kontrolowany przez przestępców, umożliwiając im przejęcie konta jakby byli jego prawomocnymi właścicielami.

Skala i konsekwencje naruszenia

Według dokumentu złożonego w biurze prokuratora generalnego stanu Maine, Meta powiadomiła co najmniej 20 225 osób o kompromitacji ich kont, w tym 30 mieszkańców Maine. Przejęcie kont dawało hakerom pełną kontrolę nad Instagram i wszystkimi połączonymi kontami.

Przestępcy uzyskali dostęp do szerokiego zakresu danych osobowych, w tym informacji kontaktowych, dat urodzenia, informacji profilowych, a także możliwość dostępu do postów użytkowników, wiadomości prywatnych i aktywności konta. Meta przyznaje, że jest „nieświadoma” tego, jakie dokładnie informacje osobowe zostały uzyskane podczas ataków.

Firma powiadomiła użytkowników o konieczności zabezpieczenia kont, „instruując poszkodowanych użytkowników, aby zresetowali swoje hasła i ponownie uwierzytelnili się za pośrednictwem bezpiecznych, zweryfikowanych kanałów”.

Działania naprawcze Meta

Meta potwierdziła, że tymczasowo wyłączyła chatbota AI i usunęła ścieżkę kodu, która umożliwiała botowi resetowanie kont użytkowników. Firma sprawdza również inne chatboty na swoich platformach, aby zapobiec podobnym incydentom w przyszłości.

Instagram rozpoczął powiadamianie poszkodowanych użytkowników na początku tego tygodnia, wysyłając powiadomienia o resetowaniu hasła, nawet gdy niektórzy zgłaszali, że ataki wciąż trwały. Incident ujawniony został pierwotnie przez serwisy 404 Media i TechCrunch.

Atak na chatbota AI Meta podkreśla rosnące zagrożenia związane z integracją sztucznej inteligencji w systemach bezpieczeństwa, gdzie błędy w kodzie mogą prowadzić do masowych naruszeń danych użytkowników.