Hakerzy oszukali bota AI Meta – przejęto 20 000 kont na Instagramie

Hakerzy znaleźli sposób, by oszukać bota wsparcia Meta opartego na sztucznej inteligencji – i przejęli w ten sposób około 20 tysięcy kont na Instagramie. Wśród poszkodowanych znalazły się profile o ogromnym znaczeniu, w tym konto Białego Domu z czasów administracji Obamy, profil Dowództwa Kosmicznego USA oraz konto znanej badaczki bezpieczeństwa Jane Wong. Meta potwierdziła skalę ataku i podjęła działania naprawcze.

Prosta metoda, która zaskoczyła wszystkich

Sposób działania ataku był wręcz zdumiewająco prosty – co tylko podkreśla, jak łatwo można wykorzystać niedopracowane systemy AI. Hakerzy rozpoczynali standardową procedurę resetowania hasła do docelowego konta, a następnie wybierali opcję kontaktu z asystentem AI Meta (Meta AI Support Assistant). Gdy bot poprosił o wybór metody weryfikacji, napastnicy po prostu poprosili go o dodanie nowego adresu e-mail do konta – i asystent wykonał polecenie bez żadnej dodatkowej autoryzacji.

Co ważne, hakerzy nie byli zalogowani na przejmowane konto. Bot wysłał kod weryfikacyjny na nowo dodany adres e-mail, a napastnicy użyli go do zmiany hasła. W efekcie prawowity właściciel tracił dostęp – system wylogowywał go ze wszystkich urządzeń. Filmik z demonstracją całego przebiegu opublikował profil Dark Web Informer, a szczegóły szybko rozeszły się po sieci.

Kto padł ofiarą? – od Białego Domu po badaczkę bezpieczeństwa

Jak podaje TechCrunch, lista przejętych kont obejmowała nie tylko zwykłych użytkowników, ale i profile instytucjonalne o wysokiej randze. Wśród nich znalazł się nieaktywny od 2017 roku oficjalny profil Białego Domu z czasów prezydentury Baracka Obamy, a także konto głównego sierżanta Dowództwa Kosmicznego USA – Johna Bentivegny. Badaczka bezpieczeństwa Jane Wong również potwierdziła, że jej konto na Instagramie zostało przejęte w ten sposób.

Skala incydentu okazała się większa, niż początkowo zakładano. Według raportu SecurityWeek, Meta ujawniła, że łącznie skompromitowano około 20 225 kont. Choć niewielka część tych prób mogła pochodzić od samych użytkowników (np. pomyłki), ogromna większość to ataki hakerskie. Oznacza to, że potencjalnie wykradzione dane obejmują profile, adresy e-mail, numery telefonów, daty urodzenia, wiadomości prywatne, posty oraz historię aktywności.

Reakcja Meta i lekcja na przyszłość

Meta zareagowała błyskawicznie – wyłączyła narzędzie, które umożliwiło atak, i zapowiedziała, że przywróci je dopiero po całkowitym usunięciu luki. Firma unieważniła również wszystkie linki do resetowania haseł wygenerowane podczas exploitacji, a właściciele dotkniętych kont zostali objęci przymusowym checkpointem bezpieczeństwa. Ich hasła zostały zresetowane, a Meta powiadomiła poszkodowanych bezpośrednio.

Cała sytuacja pokazuje, jak ważne jest projektowanie interakcji z botami AI z myślą o najprostszych ścieżkach ataku. Nawet pozornie bezpieczny asystent wsparcia może stać się narzędziem do masowego przejmowania kont, jeśli nie wymaga odpowiedniej autoryzacji dla kluczowych operacji. Dla użytkowników Instagrama to również sygnał, by włączać uwierzytelnianie wieloskładnikowe (MFA) – w ataku brały udział głównie konta bez tej ochrony.

Incydent przypomina, że AI to potężne narzędzie, ale wymaga odpowiedzialnego wdrożenia. W przypadku Meta już wiadomo, że łatka została wdrożona – pytanie tylko, czy podobnych luk nie znajdą się w innych systemach korzystających z chatbotów wsparcia technicznego.

Źródło

Może Cię zainteresować