Ile kont na Instagramie zostało przejętych?

Meta potwierdziła naruszenie co najmniej 20 225 kont, w tym 30 w stanie Maine.

Jak hakerzy wykorzystali chatbota AI?

Prosili chatbota o wysłanie kodu resetowania hasła na adres e-mail kontrolowany przez atakującego, co pozwalało na ominięcie weryfikacji.

Czy Meta wyłączyła chatbota?

Tak, firma tymczasowo wyłączyła tę funkcję i usuwa podatny fragment kodu.

Co powinni zrobić użytkownicy?

Należy zmienić hasło, włączyć uwierzytelnianie dwuskładnikowe (2FA) i monitorować powiadomienia od firmy Meta.

Czy dane osobowe wyciekły?

Meta nie posiada informacji o uzyskaniu przez hakerów dostępu do dodatkowych danych poza samym kontem.

Meta ujawnia skalę ataku na Instagramie. Chatbot AI umożliwił hakerom dostęp do tysięcy kont

Meta powiadomiła dziesiątki tysięcy użytkowników o przejęciu ich kont na Instagramie. Wszystko przez prosty błąd w chatbocie AI, który hakerzy wykorzystywali przez wiele miesięcy.

Mechanizm ataku na konta na Instagramie

Hakerzy odkryli prosty sposób na nadużycie chatbota Meta AI wspierającego proces odzyskiwania kont. Zamiast wymagać weryfikacji adresu e-mail, system wysyłał kod resetowania na dowolny adres podany przez użytkownika. Brak weryfikacji e-maila pozwolił na natychmiastowe przejęcia kont bez uwierzytelniania dwuskładnikowego. Atakujący po prostu prosili chatbota o wysłanie kodu na ich własną skrzynkę. Meta przyznała, że narzędzie działało zgodnie z założeniami, ale osobna ścieżka kodu nie sprawdzała powiązania adresu z danym kontem.

Cały proces trwał zaledwie kilka sekund i nie wymagał żadnych zaawansowanych umiejętności technicznych. Użytkownicy bez aktywnego 2FA stali się łatwym celem na przestrzeni kilku miesięcy. Po przejęciu konta hakerzy uzyskiwali pełny dostęp do wiadomości, zdjęć oraz danych profilowych.

Skala naruszenia i liczba ofiar

Według zgłoszenia do biura prokuratora generalnego stanu Maine, Meta powiadomiła co najmniej 20 225 użytkowników. Wśród nich znalazło się 30 osób z Maine. Liczba ta stanowi pierwsze oficjalne wyliczenie rozmiaru kampanii, która rozpoczęła się 17 kwietnia i trwała do początku czerwca. 20 tysięcy powiadomień wysłano w ramach obowiązku informowania o naruszeniu bezpieczeństwa danych.

Meta nie ma pewności, czy hakerzy uzyskali dostęp do dodatkowych danych osobowych poza samym kontem. Użytkownicy otrzymali zalecenie natychmiastowej zmiany hasła i ponownego zalogowania się przez bezpieczne kanały. Atak objął zarówno zwykłe profile, jak i konta powiązane z innymi usługami firmy Meta.

Reakcja firmy i podjęte działania

Meta tymczasowo wyłączyła chatbota AI oraz usunęła wadliwą ścieżkę kodu odpowiedzialną za resetowanie haseł. Firma sprawdza obecnie inne chatboty na swoich platformach, aby zapobiec podobnym incydentom. W oficjalnym zawiadomieniu podkreślono, że system nie weryfikował poprawnie adresu e-mail podanego podczas prośby o reset. Chatbot Meta AI został wyłączony do czasu przeprowadzenia pełnego audytu.

Użytkownicy, których konta zostały przejęte, otrzymali automatyczne powiadomienia o konieczności zmiany hasła. Meta twierdzi, że nie ma dowodów na dalsze wykorzystywanie luki po jej załataniu. Firma nie odpowiedziała na pytania mediów o dodatkowe szczegóły dotyczące zakresu dostępu hakerów.

Podobne incydenty z narzędziami AI

Problem nadużywania chatbotów do naruszeń bezpieczeństwa nie jest odosobniony. Podobne przypadki opisywano już w kontekście innych systemów AI wspierających obsługę klienta. ChatGPT w Arkuszach Google również umożliwiał obejście zabezpieczeń poprzez sprytne konstruowanie poleceń.

W innym przypadku narzędzie AI wykorzystano do ataku na platformę deweloperską. Vercel został zhakowany przez AI, a dane deweloperów trafiły na czarny rynek. Takie przykłady pokazują, że szybkie wdrażanie rozwiązań AI bez odpowiednich mechanizmów kontrolnych stwarza nowe wektory ataków.

Konsekwencje dla użytkowników i bezpieczeństwo kont

Osoby, których konta zostały przejęte, straciły kontrolę nad swoimi danymi kontaktowymi, datami urodzenia oraz całą historią aktywności. Hakerzy mogli przeglądać prywatne wiadomości i publikować treści pod cudzym nazwiskiem. Meta zaleca teraz włączenie uwierzytelniania dwuskładnikowego na wszystkich kontach.

Brak 2FA okazał się kluczowym czynnikiem umożliwiającym atak. Użytkownicy powinni regularnie sprawdzać powiązane adresy e-mail i natychmiast zgłaszać podejrzane próby resetowania haseł. Incydent pokazuje, jak bardzo poleganie na automatycznych systemach AI wymaga jednoczesnego wzmocnienia podstawowych zabezpieczeń.

Szersze implikacje dla AI w dużych korporacjach

Meta zredukowała liczbę pracowników odpowiedzialnych za bezpieczeństwo, jednocześnie promując automatyzację za pomocą AI. Ten incydent rodzi pytania o to, czy przyspieszone wdrażanie chatbotów nie odbywa się kosztem rzetelnych testów. Firma zapowiedziała audyt wszystkich podobnych systemów.

Eksperci podkreślają potrzebę wprowadzenia dodatkowych warstw weryfikacji nawet dla prostych operacji, takich jak resetowanie haseł. Automatyczne narzędzia AI nie powinny samodzielnie decydować o dostępie do kont użytkowników bez potwierdzenia tożsamości. Meta planuje przywrócić chatbota dopiero po wyeliminowaniu wszystkich luk.

Źródła:

TechCrunch, 404 Media, this.weekinsecurity.com, Maine AG, DocumentCloud