Хакери измамиха AI чатбота на Instagram и превзеха чужди профили
Instagram отстрани критична уязвимост, след като хакери измамиха нейния AI асистент за поддръжка и превзеха чужди профили, включително верифицирани акаунти.
Инстаграм е една от най-използваните социални мрежи през последните години.
Instagram официално потвърди отстраняването на критичен проблем в своята система за сигурност. Хакери успешно са манипулирали изкуствения интелект за поддръжка на платформата. Чрез тази измама те са получили пълен достъп до профили на други потребители. Инцидентът повдига сериозни въпроси относно безопасността на автоматизираните системи в социалните мрежи.
Според данни от TechCrunch и 404 Media, хакерите са използвали VPN услуги, за да имитират местоположението на истинските собственици. По този начин те са заобикаляли автоматичните защити на Instagram. След като се представят за притежатели на акаунта, нападателите са изпращали съобщения до AI асистента на Meta. Те са изисквали промяна на имейл адреса, свързан с профила.
AI асистентът е променял контактната информация и е изпращал кодове за възстановяване директно на хакерите. Видеоклипове в социалните мрежи показват целия процес на атаката. В тях се вижда как кодът за верификация пристига в пощенската кутия на нападателя. Жертвата дори не разбира, че нейният акаунт е обект на атака. Тази уязвимост е позволила на злонамерени лица да поемат контрол над чужди профили само за няколко минути.
Говорителят на Meta Анди Стоун коментира ситуацията в платформата X.
„Проблемът беше отстранен и предприемаме мерки за защита на засегнатите акаунти“
заяви той. Въпреки това Стоун отрече твърденията, че лидери на държави са станали жертва на този конкретен пробив. В същото време 404 Media съобщава, че уязвимостта е засегнала верифицирани профили, включително акаунт, използван от Барак Обама. От него е било публикувано съдържание в подкрепа на Иран.
Проблемът изглежда е съществувал от месеци. През март Meta разшири функционалността на своя AI инструмент за сигурност и възстановяване. Функционалността за AI поддръжка е била достъпна за всички потребители, което е увеличило мащаба на потенциалните атаки. Джейн Манчун Уонг, бивш инженер по сигурността в Meta, също съобщи за инцидент със своя профил. Тя сподели, че паролата ѝ е била сменена без нейно знание.
„Доста притеснително“
добави Уонг.
Марийус Бриедис от NordVPN предупреждава за рисковете при прекомерно доверие в автоматизацията. Според него AI чатботовете често разполагат с твърде много правомощия при липса на човешка проверка. Това превръща инструментите за поддръжка в сериозна заплаха. Потребителите се оплакват, че не могат да намерят реален служител, с когото да разговарят при проблем. Един от пострадалите написа в X:
„Стигнахме дотам, че един AI го открадна, а друг AI не може да го върне. Няма нито един човек в процеса“
Ситуацията се усложнява от факта, че „Мета“ обмисля съкращения на 20% от персонала на фона на нарастващите разходи за AI. Компанията инвестира милиарди в нови технологии, но същевременно намалява екипите си. Това води до липса на адекватна поддръжка за крайните потребители. Независими органи в ЕС вече алармираха, че компанията рядко реагира на сигнали за блокирани акаунти. Повече по темата може да прочетете тук: Компанията „Мета“ не обяснява защо блокира профили, твърди правозащитна организация.
Meta е рекламирала своя AI като инструмент за по-висока сигурност, но практиката показва друго. Експертите по киберсигурност подчертават, че възстановяването на акаунт никога не трябва да се основава само на автоматизация. Липсата на човешки контрол в критични моменти прави платформите уязвими за социално инженерство, насочено към изкуствения интелект.
