Хакеры нашли способ получать доступ к чужим Instagram-аккаунтам с помощью простого запроса чат-боту Meta.
В Instagram уже несколько дней происходят массовые кражи аккаунтов – из-за уязвимости ИИ-помощника службы поддержки Meta, которых обманывают хакеры. Об этом рассказал портал 404 Media.
Схема работала следующим образом: злоумышленники подключались через VPN, чтобы имитировать нахождение в том же регионе, что и владелец аккаунта, после чего просили у чат-боту Meta AI изменить адрес электронной почты.
Бот отправлял код подтверждения на указанный злоумышленником адрес, а после ввода кода предлагал кнопку сброса пароля. Это позволяло полностью перехватить контроль над учетной записью без подтверждения от реального владельца.
Как только метод был описан публично, разработчики оперативно устранили уязвимость. Правда, до конца неясно, как долго хакеры им пользовались и сколько аккаунтов было взломано таким образом. Не исключено, что схема работала с момента запуска AI-бота службы поддержки.
С уязвимостью связывают серию громких захватов аккаунтов, произошедших в последние дни. Среди пострадавших оказалась официальная страница Белого дома времен Барака Обамы, официальный аккаунт сети магазинов Sephora и аккаунт главного сержанта Космических сил США Джона Бентивеньи. Meta уже начала возвращать украденные аккаунты.
Примечательно, что недавно Meta провела крупнейшее сокращение персонала в своей истории. Цукерберг уволил 20% своего штата, чтобы компенсировать огромные вложения в искусственный интеллект.
В конце мая в Instagram и Facebook появились платные подписки. Теперь можно анонимно смотреть "Истории" и видеть дополнительную статистику просмотров.