Instagram нещодавно ліквідував серйозну уразливість у системі безпеки, яка дозволяла зловмисникам отримувати контроль над акаунтами користувачів. Хакери використовували для цього чат-бот підтримки Meta AI, через який їм вдавалося обійти стандартні захисні механізми платформи.
Про це розповідає ProIT
Як працювала схема злому через чат-бот Meta AI
Протягом вихідних у спільнотах Reddit і X (раніше Twitter) багато користувачів повідомили, що їхні акаунти в Instagram були скомпрометовані. Серед них опинилися навіть сторінки відомих осіб і організацій, зокрема акаунт Білого дому періоду президентства Обами, що залишався неактивним із 2017 року, а також акаунт головного майстра сержанта Космічних сил США Джона Бентінвенья.
Дослідниця з кібербезпеки Джейн Вонг також стала жертвою цієї атаки.
“The password got changed without my knowledge and I was getting different password reset attempts throughout yesterday,” said Wong. “Quite concerning.”
Деталі атаки та реакція Instagram
Згідно з відеоматеріалами, які були оприлюднені в мережі X, хакери використовували VPN для підміни геолокації, аби уникнути фіксації нестандартної активності. Далі вони відкривали чат із Meta AI Support Assistant і просили чат-бот додати нову електронну адресу до облікового запису жертви. Чат-бот надсилав код підтвердження на вказану адресу, після чого хакер передавав цей код чат-боту і отримував можливість скинути пароль та встановити новий, отримуючи повний контроль над обліковим записом.
Ця схема дозволяла захопити акаунт без необхідності отримувати доступ до справжньої електронної пошти користувача. Підтвердженням працездатності методу стало те, що публічна поштову скринька хакера, продемонстрована у відео, дійсно отримала верифікаційний код.
У понеділок представник Instagram Енді Стоун повідомив у відповідь на запити користувачів, що проблему вже усунули. Проте наразі залишається невідомою точна кількість акаунтів, які могли бути зламані внаслідок цієї уразливості.