Instagram недавно ликвидировал серьезную уязвимость в системе безопасности, которая позволяла злоумышленникам получать контроль над аккаунтами пользователей. Хакеры использовали для этого чат-бот поддержки Meta AI, через который им удавалось обойти стандартные защитные механизмы платформы.
Об этом сообщает ProIT
Как работала схема взлома через чат-бот Meta AI
В течение выходных в сообществах Reddit и X (ранее Twitter) многие пользователи сообщили, что их аккаунты в Instagram были скомпрометированы. Среди них оказались даже страницы известных личностей и организаций, в том числе аккаунт Белого дома периода президентства Обамы, который оставался неактивным с 2017 года, а также аккаунт главного мастера сержанта Космических сил США Джона Бентинвенья.
Исследовательница в области кибербезопасности Джейн Вонг также стала жертвой этой атаки.
“Пароль был изменен без моего ведома, и я получала разные попытки сброса пароля на протяжении вчерашнего дня,” сказала Вонг. “Это довольно тревожно.”
Детали атаки и реакция Instagram
Согласно видеоматериалам, которые были опубликованы в сети X, хакеры использовали VPN для подмены геолокации, чтобы избежать фиксации нестандартной активности. Далее они открывали чат с Meta AI Support Assistant и просили чат-бота добавить новый адрес электронной почты к учетной записи жертвы. Чат-бот отправлял код подтверждения на указанный адрес, после чего хакер передавал этот код чат-боту и получал возможность сбросить пароль и установить новый, получая полный контроль над учетной записью.
Эта схема позволяла захватить аккаунт без необходимости получать доступ к настоящей электронной почте пользователя. Подтверждением работоспособности метода стало то, что публичная почтовая коробка хакера, продемонстрированная в видео, действительно получила верификационный код.
В понедельник представитель Instagram Энди Стоун сообщил в ответ на запросы пользователей, что проблему уже устранили. Однако на данный момент остается неизвестным точное количество аккаунтов, которые могли быть взломаны в результате этой уязвимости.