Meta: oko 20.000 Instagram računa možda je kompromitirano zloupotrebom AI alata za oporavak računa

Meta je priopćila da je oko 20.000 Instagram računa možda bilo hakirano u nedavnom napadu koji je zloupotrijebio alat za podršku pri oporavku računa temeljen na umjetnoj inteligenciji. Tvrtka je navela i da je Maine Attorney General’s Office obavijestila o utjecaju incidenta, dok je ukupni broj potencijalno pogođenih korisnika naveden kao 20.225.

Prema Meti, napadači su kompromitirali mnoge račune tako što su Meta-inom chatbotu jednostavno tražili da njihovu e-mail adresu poveže s ciljanim računom. Time su mogli pokrenuti poništavanje lozinke i preuzeti kontrolu nad računom, a za dio računa navodi se da nisu imali uključenu dvofaktorsku autentifikaciju (2FA). Meta je, međutim, naznačila i da bi stvarni broj mogao biti manji, jer je u brojku uključila korisnike kojima je lozinka resetirana putem alata za podršku i račune za koje je procijenjeno da su ih napadači mogli otvoriti, iako je moguće da su neke od tih računa pristupili njihovi legitimni vlasnici.

Meta je otkrila zloupotrebu svojeg High Touch Support (HTS) alata 31. svibnja. U obavijesti Maine Attorney General’s Office navodi se da je alat bio namijenjen pomoći korisnicima koji su izgubili pristup računu, ali je pogreška u zasebnoj programskoj grani uzrokovala to da sustav nije ispravno provjeravao podudara li se unesena e-mail adresa s adresom povezanim s Instagram računom. Ako je unesena adresa nije bila ranije povezana s računom, sustav je pogrešno slao poveznicu za poništavanje lozinke na tu nepovezanu adresu, umjesto da zahtjev odbije.

Meta navodi da zasad nije jasno je li pristupano osobnim podacima pohranjenima u kompromitiranim računima. Ipak, napadači su potencijalno mogli doći do podataka profila, e-mail adresa, brojeva telefona, datuma rođenja, izravnih poruka, objava na društvenoj mreži te podataka o aktivnosti računa i povijesti interakcija. Tvrtka je onemogućila zloupotrijebljeni alat i ponovno će ga aktivirati tek nakon što potvrdi da je ranjivost otklonjena.

Poveznice za poništavanje lozinke izrađene iskorištavanjem ranjivosti poništene su, a pogođeni računi stavljeni su u obveznu sigurnosnu provjeru i lozinke su im resetirane. Amber Hannah, Meta-in pravni savjetnik za odgovor na incidente, rekla je da tvrtka namjerava čim to bude praktično poslati obavijesti korisnicima koji bi mogli biti pogođeni te ih potaknuti da provjere sigurnosne postavke računa i uključe 2FA.