Instagram✴ оповестил пользователей, которых взломали с помощью ИИ-бота Meta✴

Масштабная хакерская атака в ходе которой злоумышленники по простому обращению к чат-боту Meta✴ AI перехватывали контроль над учётными записями в Instagram✴, продолжалась даже после того, как компания сообщила о решении проблемы. Администрация платформы тем временем начала прилагать усилия, чтобы защитить эти учётные записи и оповестить жертв.

В минувшие выходные киберпреступники рассказали, как «угоняют» популярные страницы в Instagram✴ через чат-бот поддержки Meta✴ AI — на проблему пожаловались обладатели учётных записей с уникальными короткими никами. Доступ к таким страницам продаётся на сером рынке как коллекционные предметы. Схема атаки настолько проста, что её и взломом назвать нельзя. Хакер сообщает чат-боту, что является владельцем аккаунта жертвы и просит его привязать эту учётную запись к своему адресу электронной почты. ИИ выполняет эту просьбу, и злоумышленнику остаётся лишь сбросить пароль и получить контроль над страницей, а доступ жертвы блокируется. Сотрудники или подрядчики Meta✴ в схеме не участвовали.

В минувший понедельник, 1 июня, представитель Meta✴ Энди Стоун (Andy Stone) заявил, что «проблема, которая имела место, уже решена»; но на следующий день жалоб на взлом учётных записей стало только больше. «Некоторые люди могут получать уведомления о сбросе пароля, а некоторым при попытке войти в аккаунт могут задавать контрольные вопросы», — предупредил впоследствии господин Стоун. Meta✴ приняла меры по защите пострадавших учётных записей ещё в 1 июня, настоял он в переписке с журналистами ресурса TechCrunch, но не уточнил, сколько аккаунтов были взломаны.

Мета✴ начала развёртывать чат-бот с ИИ в разделе поддержки в марте — системе делегировали часть полномочий, которыми традиционно наделяли лишь человека, в том числе возможностью «безопасно сбрасывать пароль». Рынок, на котором продавали «старые» ники, то есть короткие имена страниц в Instagram✴, процветает не первый год. Но раньше для взлома этих страниц требовались более серьёзные усилия: фишинг, перехват номера телефона или подкуп инсайдеров. В данном случае всю работу послушно выполнял ИИ.