Weekendul trecut, hackerii au susținut că exploatează chatbotul de asistență AI al Meta pentru a prelua mai multe conturi de Instagram cu profil înalt. În același timp, un număr mare de oameni s-au plâns pe rețelele sociale că conturile lor de Instagram au fost sparte, unii dintre ei având nume de utilizator scurte și unice. TechCrunch a văzut exemple de nume de utilizator presupuse compromise, care includ prenume comune sau nume de țări, care pot fi apoi revândute aproape ca obiecte de colecție pe o piață gri pentru așa-numitele „OG handles”. Printre alte victime ale valului de atacuri s-au numărat contul inactiv al Casei Albe din era Obama (pe care Meta l-a contestat) și contul sergentului-șef al Forțelor Spațiale ale SUA, John Bentivegna.
Aceste atacuri au fost atât de simple încât a le numi „hacking” înseamnă poate să le acordăm prea mult credit autorilor, în timp ce, în același timp, nu aruncăm suficiente vini asupra Meta pentru că nu a prevenit atacuri rudimentare care au deturnat conturile oamenilor. Hackerii i-au spus pur și simplu chatbotului AI al Meta că ei sunt proprietarii contului țintă și au cerut robotului să lege acel cont de o adresă de e-mail pe care o controlau. Chatbotul a respectat cererea, permițând hackerului să reseteze parola contului țintă și să preia controlul asupra acestuia – în unele cazuri blocându-i pe victime afară. În niciun moment nu au fost implicați angajați sau contractori Meta în discuție.
Luni, purtătorul de cuvânt al Meta, Andy Stone, a declarat că „problema care s-a întâmplat a fost deja rezolvată”. Marți, însă, mai mulți utilizatori Instagram au susținut că li s-au spart conturile. În același timp, TechCrunch a văzut discuții între membrii unui canal Telegram unde tehnica de hacking a fost publicată, care susțineau că încă pot exploata chatbotul AI al Meta și făceau reclamă unor conturi presupuse compromise de vânzare, inclusiv la momentul redactării acestui articol. (Este important de menționat că este dificil de știut cu siguranță dacă toate aceste conturi au fost sparte folosind aceeași tehnică.)
Contactați-ne
Aveți mai multe informații despre aceste atacuri asupra Instagram? Am fi încântați să auzim de la dumneavoastră. De pe un dispozitiv și o rețea care nu sunt de serviciu, puteți contacta în siguranță pe Lorenzo Franceschi-Bicchierai pe Signal la +1 917 257 1382, sau pe Telegram și Keybase @lorenzofb, sau prin e-mail.
Într-o postare ulterioară pe X, Stone a spus: „Unii oameni pot primi notificări de resetare a parolei și unii pot fi întrebați întrebări de securitate când încearcă să se conecteze la conturile lor”. Stone a declarat pentru TechCrunch într-un e-mail că Meta a securizat conturile afectate luni, apoi a început să trimită e-mailuri de resetare a parolei. Întrebat de TechCrunch, Stone nu a vrut să spună câți utilizatori au fost sparte.
Mai multe persoane au raportat că Meta a început să notifice utilizatorii că au fost vizați. Victimele au raportat public că au primit e-mailuri de la Instagram avertizându-le că „au detectat o activitate suspectă care sugerează că Instagram-ul dumneavoastră ar putea fi fost compromis”. Mesajul spunea, de asemenea, că au fost luate măsuri pentru securizarea contului și cerea utilizatorului să își reseteze parola.
După cum a notat 404 Media, Meta a anunțat în martie că implementează AI pentru a automatiza asistența oferită utilizatorilor, spunând că chatbotul bazat pe AI a fost „proiectat pentru a rezolva problemele conturilor de la început până la sfârșit” și va avea capacitatea de a „reseta în siguranță parola”. Acest lucru sugerează că chatbotul poate efectua acțiuni care anterior ar fi necesitat implicarea unui om, având în vedere cât de critice erau acestea.
De ani de zile, a existat o piață înfloritoare în care hackerii fură și apoi vând nume de utilizator „OG”, referindu-se la numele de utilizato și handle-urile luate de primii utilizatori ai Instagram. În trecut, însă, preluarea acestor conturi necesita strategii mai complexe, cum ar fi phishing-ul victimei, preluarea numărului de telefon sau mituirea unor persoane din interiorul furnizorilor de telecomunicații.
Când achiziționați prin linkuri din articolele noastre, putem câștiga un mic comision. Acest lucru nu afectează independența noastră editorială.
Lorenzo Franceschi-Bicchierai este un scriitor senior la TechCrunch, unde scrie despre hacking, securitate cibernetică, supraveghere și confidențialitate. Puteți contacta sau verifica mesajele de la Lorenzo prin e-mail la lorenzo@techcrunch.com, prin mesaj criptat la +1 917 257 1382 pe Signal și @lorenzofb pe Keybase/Telegram.
De ce este important:
Acest incident evidențiază o vulnerabilitate critică în implementarea asistenței automate bazate pe AI de către Meta. Faptul că un simplu chatbot a putut fi convins să predea controlul unor conturi fără verificare umană arată că automatizarea poate deveni o poartă deschisă pentru atacuri sofisticate sau, în acest caz, chiar banale. Problemele de securitate nu au fost încă complet rezolvate, iar utilizatorii trebuie să fie extrem de precauți. În plus, această situație demonstrează cât de ușor pot fi exploatate sistemele AI atunci când nu sunt proiectate cu măsuri de siguranță adecvate. Pentru milioanele de utilizatori Instagram, acesta este un semnal de alarmă că, deși AI promite confort, poate aduce și pericole noi.
