Sigurnosna rupa u Meta AI-u koja je kompromitovala hiljade Instagram naloga

  • Greška u dizajnu Meta chatbota za podršku omogućila je trećim stranama da preuzmu kontrolu nad profilima drugih ljudi jednostavnim zahtjevima.
  • Napadači su koristili VPN mreže kako bi prevarili vještačku inteligenciju simulirajući uobičajenu lokaciju legitimnih vlasnika.
  • Poznati računi, poput onih Bijele kuće ili Sephore, bili su kompromitovani prije objavljivanja zakrpe.
  • Dvofaktorska autentifikacija korištenjem eksternih aplikacija potvrđena je kao najefikasnija odbrana od ovih napada socijalnog inženjeringa.
Alberto Navarro

5 minuta

Sigurnosni problemi s Instagram računima

Ono što se u početku činilo kao briljantno poboljšanje koje bi spriječilo korisnike da paniče kada izgube pristup svojim mrežama, pokazalo se kao kolosalna greška. Metin asistent za podršku, pokretan umjetnom inteligencijom, dizajniran za ubrzavanje oporavka profila, postao je omiljeni alat cyberkriminalaca. zaobiđite Instagramovu sigurnostVijest se proširila brzinom munje nakon što je otkriveno da ovaj automatizirani sistem ima slabost koja omogućava krađu računa bez potrebe da se bude kompjuterski genije.

Ovo nije mala stvar, jer je uticala na poznate osobe, uključujući i neke povezane sa zvaničnim institucijama i velikim brendovima. Osnovni problem je što je vještačka inteligencija bila izuzetno naivna u davanju prioriteta brzini odgovora u odnosu na rigoroznu provjeru identiteta, omogućavajući bilo kome sa malo digitalnog znanja da... prevarite chatbota za podršku kako bi za nekoliko minuta predao ključeve tuđeg profila.

Reorganizacija Mete putem umjetne inteligencije
Vezani članak:
Meta se velikom reorganizacijom pretvara u kompaniju fokusiranu na umjetnu inteligenciju.

Tehnika obmanjivanja virtuelnog asistenta

Haker koji koristi Meta AI

Metoda koju su napadači koristili bila je jednostavnija od vrča za vodu i nije zahtijevala ni viruse ni phishing e-poruke. Jednostavno su koristili VPN vezu da... simulirati lokaciju vlasnika Napadač je koristio pravi račun, čime je stekao početno povjerenje Metinog algoritma. Nakon što je sistem povjerovao da komunicira s legitimnim vlasnikom, napadač je samo trebao zatražiti da se nova email adresa doda u postavke profila, što je vještačka inteligencija i učinila bez mnogo oklijevanja.

Sa novom povezanom e-mail adresom, sljedeći korak je bio mačji kašalj: zahtjev za resetiranje lozinke. Budući da je verifikacijski kod poslan direktno na e-mail adresu koju je haker upravo dodao, mogli su zahtjev za resetiranje podataka i odmah promijeniti lozinku za pristup. Ovo je ostavilo prvobitnog vlasnika sa zatvorenom sesijom i bez mogućnosti da povrati svoj račun putem uobičajenih kanala, jer ga je sistem podrške sada smatrao strancem.

Meta AI na WhatsApp-u
Vezani članak:
Kako minimizirati Meta AI na WhatsAppu: privatnost, rizici i opcije

Ova ranjivost je izazvala porast prodaje traženih korisničkih imena na crnom digitalnom tržištu. Priča se da je vrijednost nekih od ovih računa, posebno onih s kratkim imenima ili milionima pratilaca, prelazi milion dolara u privatnim Telegram kanalima. Kriminalci su ne samo stekli kontrolu nad zidom, već su mogli i da špijuniraju privatne poruke i osjetljive podatke kompanija i kreatora sadržaja širom Evrope i svijeta.

Poznate žrtve i reakcija kompanije

Zaključan ekran Instagrama

Niko nije pošteđen u ovom valu napada koji je Metu doveo u prilično neizvjesnu poziciju. Među onima koji su meta su imena koja su ostavila više od jedne osobe bez riječi, kao što je službeni izvještaj Barack Obama ili Sephora...pa čak i profile povezane sa Svemirskim snagama Sjedinjenih Američkih Država. Situacija je postala toliko nestvarna da su čak i stručnjaci za sajber sigurnost iz prve ruke iskusili koliko je lako Meta bot popustio zahtjevima uljeza.

Facebook koristi fotografije za Meta AI-0
Vezani članak:
Facebook koristi fotografije iz vaše galerije za Meta AI: Sve što trebate znati o privatnosti i kreativnim prijedlozima

Istraživačica Jane Wong, poznata širom svijeta po seciranju aplikacijskog koda, bila je jedna od onih koji su digli uzbunu. izgubiti pristup svom profilu Uprkos tome što je imala napredno znanje o toj temi, primila je desetine obavještenja o promjeni lozinke sve dok je aplikacija konačno nije zabranila. Ovo jasno pokazuje da kada problem leži u samoj logici kompanije koja bi trebala da vas zaštiti, malo toga možete učiniti s tradicionalnim korisničkim alatima.

Kako se zaštititi nakon ove sigurnosne rupe

Savjeti za kibernetičku sigurnost na društvenim mrežama

Iako nas ured Marka Zuckerberga uvjerava da je zakrpa već primijenjena i da je ranjivost zatvorena, ipak je mudro postupati s oprezom. Najvažnija stvar sada je uključite potvrdu u XNUMX koraka Međutim, izbjegavajte korištenje SMS-a, koji se u više navrata pokazao ranjivim. Idealno bi bilo koristiti aplikacije za autentifikaciju poput Google Authenticatora ili Authyja, koje generiraju kodove neovisno o sistemu podrške društvene mreže.

Još jedan zlatni savjet je da pogledate aktivne sesije u konfiguraciji radi sigurnosti našeg računa. Ako se pojavi bilo koji uređaj ili lokacija koja nam se čini potpuno nepoznatom, moramo zatvoriti sve sesije i promijeniti primarnu adresu e-pošte u onu koja nije javna. Imati račun e-pošte posvećen isključivo društvenim mrežama, a za koji niko drugi ne zna, može biti razlika između mirnog sna i buđenja s monumentalnim šokom.

WhatsApp: anonimni razgovori s Meta AI-jem
Vezani članak:
WhatsApp pokreće anonimne chatove s Meta AI-jem kako bi zaštitio privatnost

Ovaj incident nas uči prilično jasno o opasnostima koje su s njim povezane automatizirati osjetljive procese bez ljudskog oka koje nadgleda operaciju. Uprkos obećanjima da će vještačka inteligencija riješiti sve naše probleme, ovaj slučaj pokazuje da je pred nama još dug put kada je u pitanju zlonamjerna namjera. Pogodnost nikada ne može biti ispred privatnosti i na nama je da budemo primarni čuvari vlastitog digitalnog identiteta u okruženju koje se stalno mijenja.


Pratite nas na Google Vijestima