Репортаж от Wedoany，Уязвимость в системе восстановления аккаунтов на основе искусственного интеллекта Meta привела к взлому 20 225 аккаунтов Instagram. Злоумышленники использовали недостаток в системе High Touch Support (HTS) компании, чтобы несанкционированно выполнить сброс паролей для этих аккаунтов.

High Touch Support (HTS) — это система восстановления аккаунтов Instagram на основе искусственного интеллекта, предназначенная для помощи пользователям в восстановлении доступа к заблокированным аккаунтам. Пользователи могут запросить ссылку для сброса пароля через рабочий процесс поддержки, если не могут получить доступ к своему аккаунту.

Заместитель главного юрисконсульта Meta по реагированию на инциденты Амбер Ханна объяснила, что сам инструмент работал нормально и выполнял свои функции, однако ошибка в независимом пути кода привела к тому, что система не смогла правильно проверить, соответствует ли адрес электронной почты, указанный при запросе сброса пароля, адресу, связанному с аккаунтом пользователя Instagram. Когда человек указывал адрес электронной почты, ранее не связанный с аккаунтом, система ошибочно отправляла ссылку для сброса пароля на этот несвязанный адрес, вместо того чтобы отклонить запрос. Это позволяло неавторизованным третьим лицам получать ссылки для сброса пароля, не принадлежащие их аккаунтам. После сброса пароля, если владелец аккаунта не включил двухфакторную аутентификацию (2FA), неавторизованное лицо могло войти в этот аккаунт.

Meta сообщила, что обнаружила уязвимость 31 мая. Документ, опубликованный на сайте генерального прокурора штата Мэн, указывает 17 апреля как дату инцидента, что позволяет предположить, что первый несанкционированный доступ мог произойти более шести недель назад. Компания заявила, что нет доказательств того, какая информация во взломанных аккаунтах была доступна (если таковая имеется). Данные, которые могли быть раскрыты в затронутых аккаунтах, включают контактную информацию (например, адреса электронной почты и номера телефонов), дату рождения, фотографии, видео, истории, личные сообщения, активность аккаунта, информацию профиля и связанные сервисы.

На прошлой неделе на Reddit, X, Telegram и в сообществах по безопасности появились сообщения о том, что аккаунты Instagram взламываются через рабочий процесс AI-поддержки Meta. Простота атаки привлекла внимание. Видео, опубликованные в Telegram, показывают, как злоумышленники используют VPN-сервис, чтобы находиться примерно в том же географическом регионе, что и целевой аккаунт, а затем просят чат-бота связать аккаунт с контролируемым ими адресом электронной почты.

По словам журналиста по безопасности Брайана Кребса, злоумышленники нацеливались на высокопрофильные аккаунты Instagram, включая аккаунт Белого дома времен Обамы и аккаунт главного старшины Космических сил США, а также на короткие, ценные имена пользователей, которые можно перепродать на черном рынке.

После обнаружения уязвимости компания отключила затронутый инструмент поддержки на основе ИИ, аннулировала ссылки для сброса пароля, созданные через уязвимый рабочий процесс, и потребовала дополнительную проверку подлинности для потенциально затронутых аккаунтов, а также поручила пострадавшим пользователям сбросить пароли. Meta заявила, что перед повторным запуском инструмента исправит проверку подлинности в точке входа восстановления Instagram, чтобы гарантировать правильную проверку адреса электронной почты на соответствие существующей информации об аккаунте перед запуском любого сброса пароля, а также проводит всесторонний анализ аналогичных процессов восстановления аккаунтов на платформе Meta для выявления и устранения потенциальных проблем.

Meta запустила своего AI-ассистента поддержки в марте, утверждая, что тщательно тестирует каждую AI-систему, устанавливает защитные меры и оценивает ее производительность для предотвращения предвзятости и обеспечения согласованности и точности. Негативные последствия передачи восстановления аккаунтов на аутсорсинг ИИ наступили быстрее, чем ожидалось.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com