Μια σοβαρή ευπάθεια στο AI chatbot υποστήριξης της META φαίνεται πως επέτρεψε σε επιτήδειους να αποκτήσουν πρόσβαση σε λογαριασμούς Instagram, εκμεταλλευόμενοι τη διαδικασία ανάκτησης λογαριασμού που η ίδια η εταιρεία παρουσίασε πριν από λίγους μήνες.
Σύμφωνα με πληροφορίες που δημοσιεύθηκαν αρχικά από το 404 Media, hackers κατάφεραν να χρησιμοποιήσουν το AI-powered support assistant της META για να αλλάξουν τη διεύθυνση email λογαριασμών και στη συνέχεια να επαναφέρουν τον κωδικό πρόσβασης, αποκτώντας πλήρη έλεγχο του προφίλ.
Η META επιβεβαίωσε ότι το πρόβλημα υπήρξε, αναφέροντας ότι έχει πλέον διορθωθεί και ότι προχωρά στην προστασία των λογαριασμών που επηρεάστηκαν.
Το περιστατικό ήρθε στο φως μέσα από βίντεο που κυκλοφόρησε σε κανάλια του Telegram, όπου ένας χρήστης δείχνει βήμα προς βήμα πώς μπορούσε να πείσει το chatbot να συνδέσει έναν λογαριασμό με νέα διεύθυνση email. Αφού ολοκληρωνόταν η διαδικασία, ο επιτιθέμενος λάμβανε κωδικό επιβεβαίωσης και μπορούσε να ορίσει νέο κωδικό πρόσβασης, αποκλείοντας τον νόμιμο κάτοχο από τον λογαριασμό του.
Η λειτουργία AI υποστήριξης παρουσιάστηκε από τη META τον Μάρτιο με στόχο να βοηθά τους χρήστες σε διαδικασίες όπως η ανάκτηση πρόσβασης σε λογαριασμούς, η αλλαγή κωδικών και η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (2FA). Ωστόσο, στην προκειμένη περίπτωση το ίδιο το σύστημα φαίνεται ότι αποτέλεσε το σημείο εισόδου για την επίθεση.
Σύμφωνα με τις αναφορές, οι δράστες στόχευαν κυρίως λογαριασμούς με ιδιαίτερα πολύτιμα usernames, όπως μονογράμματα ή σύντομες λέξεις, τα οποία έχουν σημαντική αξία στη δευτερογενή αγορά λογαριασμών κοινωνικής δικτύωσης. Σε αρκετές περιπτώσεις χρησιμοποιούσαν VPN ώστε να εμφανίζονται γεωγραφικά κοντά στον πραγματικό κάτοχο του λογαριασμού, αυξάνοντας τις πιθανότητες επιτυχίας της διαδικασίας.
Μεταξύ των λογαριασμών που φέρεται να επηρεάστηκαν συγκαταλέγεται το ιστορικό προφίλ @obamawhitehouse, το οποίο για σύντομο χρονικό διάστημα δημοσίευσε περιεχόμενο προπαγανδιστικού χαρακτήρα. Παρόμοιες αναφορές υπήρξαν και για λογαριασμούς που σχετίζονται με τη US SPACE FORCE αλλά και τη SEPHORA.
Θύμα της επίθεσης δήλωσε ότι έπεσε και η γνωστή ερευνήτρια ασφαλείας Jane Manchun Wong, η οποία ανέφερε πως ο κωδικός πρόσβασης του λογαριασμού της άλλαξε χωρίς δική της ενέργεια, ενώ δεχόταν συνεχείς απόπειρες επαναφοράς κωδικού.
Η υπόθεση έρχεται σε μια περίοδο όπου η META επενδύει ιδιαίτερα στην τεχνητή νοημοσύνη, ενσωματώνοντας AI λειτουργίες σε όλο το οικοσύστημά της. Παράλληλα όμως, η εταιρεία έχει προχωρήσει σε εκτεταμένες απολύσεις και ανακατανομή προσωπικού, γεγονός που έχει προκαλέσει ανησυχίες για τη στελέχωση κρίσιμων ομάδων όπως αυτές που ασχολούνται με την ασφάλεια και την προστασία λογαριασμών
