Ранливоста во AI поддршката на Meta овозможи лесно преземање на Instagram профили

Серијата упади во Instagram профили, поврзани со злоупотреба на AI чет-ботот за поддршка на Meta, продолжува и покрај тврдењата на компанијата дека проблемот е веќе решен. Во меѓувреме, Meta презема итни мерки за заштита на компромитираните сметки и известување на засегнатите корисници.

За време на викендот, хакери почнаа да споделуваат информации дека користат едноставна техника за преземање контрола врз туѓи профили, искористувајќи го автоматизираниот систем за поддршка базиран на вештачка интелигенција. Истовремено, на социјалните мрежи се појавија бројни поплаки од корисници кои тврдат дека нивните Instagram сметки биле хакирани, меѓу кои и профили со кратки и вредни кориснички имиња.

Според достапните информации, дел од компромитираните профили вклучуваат едноставни имиња или називи на држави, кои потоа се продаваат на сивиот пазар како таканаречени „OG“ кориснички имиња. Во некои случаи, на мета биле и профили поврзани со јавни институции или познати личности, иако Meta оспори дел од тие наводи.

Она што го прави овој случај особено загрижувачки е фактот што нападите не бараат сложени техники. Наместо тоа, напаѓачите едноставно му се обраќале на AI чет-ботот, тврдејќи дека се сопственици на одредена сметка и барале нејзино поврзување со нова е-пошта под нивна контрола. Во повеќе случаи, системот ги прифаќал овие барања, овозможувајќи им на напаѓачите да го ресетираат лозинката и целосно да ја преземат сметката, без директна интервенција од човечки оператор.

Иако портпаролот на Meta, Енди Стоун, изјави дека проблемот бил адресиран, нови извештаи од корисници укажуваат дека слични инциденти продолжиле и во наредните денови. Дополнително, во онлајн групи каде што се споделува оваа техника, поединци тврдат дека и понатаму можат да ја искористат ранливоста и нудат на продажба преземени профили.

Meta соопшти дека започнала со обезбедување на засегнатите сметки и испраќање известувања до корисниците, вклучително и барања за промена на лозинки. Дел од корисниците потврдија дека добиле предупредувања за сомнителна активност и инструкции за дополнителна заштита на нивните профили.

Овој инцидент доаѓа неколку месеци откако компанијата најави воведување на AI системи за автоматизација на корисничката поддршка, со цел побрзо решавање на проблемите, вклучително и ресетирање на лозинки. Сепак, случајот отвора прашања за безбедноста на ваквите автоматизирани решенија, особено кога станува збор за чувствителни операции што претходно бараа човечка проверка.

Пазарот за таканаречени „OG“ кориснички имиња постои со години, но во минатото нивното преземање бараше значително покомплексни методи како фишинг, кражба на телефонски броеви или злоупотреба на интерни ресурси. Во овој случај, според извештаите, напаѓачите успеале да го поедностават процесот до степен на обично барање – на кое системот, барем во одредени случаи, одговорил без дополнителна проверка.