„Instagram“ pradėjo įspėti kai kuriuos vartotojus, kai užpuolikai pasinaudojo „Meta“ AI palaikoma palaikymo sistema, kad perimtų paskyras. Problema buvo susijusi su paskyros atkūrimu, slaptažodžio nustatymu iš naujo ir el. pašto patvirtinimu, todėl tai rimta visiems, kurie naudojasi „Instagram“ asmeninėmis nuotraukomis, verslo puslapiais ar viešais profiliais.
Pagrindinė problema nebuvo tradicinis duomenų pažeidimas ar pavogta slaptažodžių duomenų bazė. Pranešama, kad paties Meta atkūrimo įrankiui nepavyko patikrinti, ar naujas el. pašto adresas iš tikrųjų priklauso paskyros savininkui. Ši klaida leido užpuolikams iš naujo nustatyti slaptažodžius paskyrose be dviejų veiksnių autentifikavimo ir privertė Meta apsaugoti paveiktus profilius.
Kaip Meta AI pažeidžiamumas įgalino paskyros perėmimą
Incidentas prasidėjo 2026 m. gegužės pabaigoje, kai kibernetiniai nusikaltėliai išsiaiškino, kad gali manipuliuoti Meta AI palaikymo pokalbių robotu ir pakeisti paskyros atkūrimo informaciją, apsimetinėdami teisėtais Instagram naudotojais ir prašydami atnaujinti el. paštą be tinkamų tapatybės patvirtinimo apsaugos priemonių.
Patekę į pokalbių roboto srautą, užpuolikai paprašė, kad sistema susietų tikslines Instagram paskyras su naujais el. pašto adresais ir suaktyvintų patvirtinimo kodus, kurie buvo pristatyti tiesiai į užpuoliko valdomas gautąsias dėžutes, veiksmingai apeinant įprastas saugos kontrolę.
Incidentas yra įspėjimas bet kuriam AI padėjėjui, kuriam leidžiama atlikti paskyros atkūrimo arba saugumo požiūriu svarbius veiksmus.
Kodėl „Instagram“ dabar siunčia įspėjimus
„Meta“ patvirtino, kad pažeidžiamumas buvo pataisytas 2026 m. birželio pradžioje, tačiau nuolatiniai pranešimai apie pažeistas paskyras privertė bendrovę toliau tirti ir nustatyti vykstančius išnaudojimo bandymus, nukreiptus į anksčiau paveiktus vartotojus.
Dabar „Instagram“ el. paštu siunčia naudotojams įspėjimus, kad buvo aptikta įtartina veikla ir kad paskyros galėjo būti pažeistos, o „Meta“ teigia, kad jau apsaugojo paveiktas paskyras ir dirba prie visiško atkūrimo.
„Meta“ viceprezidentas Andy Stone’as X sakė, kad problema išspręsta ir kad bendrovė aktyviai užtikrina ir atkuria prieigą prie paveiktų „Instagram“ paskyrų po plačiai paplitusio piktnaudžiavimo pokalbių roboto sistema.
Kaip ataka vyko žingsnis po žingsnio
Užpuolikai sekė stebėtinai paprastą seką, kuriai nereikėjo jokių techninių įsilaužimo įrankių, tik socialinės inžinerijos prieš Meta AI pokalbio atkūrimo sistemą, skirtą tiesiogiai padėti paskyros savininkams.
Pirmiausia užpuolikas apsimetė paskyros savininku ir paprašė pakeisti el. pašto adresą per Meta AI, tada perėmė nauju adresu išsiųstą patvirtinimo kodą ir galiausiai panaudojo pokalbių roboto slaptažodžio nustatymo iš naujo parinktį, kad įgytų visišką paskyros valdymą.
Visas procesas buvo labai keičiamas, nes jam nereikėjo jokių pažangių įrankių ar kenkėjiškų programų, todėl užpuolikai galėjo lengvai pakartoti metodą keliose „Instagram“ paskyrose vienu metu.
Mažai žinomas faktas: Anot Krebs on Security, ataka greičiausiai būtų žlugusi bet kuriai paskyrai, kurioje būtų įjungtas net pagrindinis SMS daugiafaktorinis autentifikavimas.
Ką turėtų daryti vartotojai, gavę įspėjimus?
Vartotojai, gaunantys „Instagram“ saugos įspėjimus, turėtų nedelsdami pakeisti savo slaptažodžius į tvirtus, unikalius kredencialus ir užtikrinti, kad jie nebūtų pakartotinai naudojami kitose platformose, kad sumažintų tolesnio kompromiso riziką.
Primygtinai rekomenduojama įgalinti dviejų veiksnių autentifikavimą, taip pat peržiūrėti aktyvius prisijungimo seansus, pašalinti nežinomus įrenginius ir patikrinti, ar paskyros nustatymuose nėra neteisėtų el. pašto ar telefono numerių pakeitimų.
„Meta“ taip pat pataria vartotojams artimiausiomis dienomis atidžiai stebėti paskyros veiklą, nes užpuolikai kartais bando pasiekti antrinę prieigą net ir atlikę pirminius atkūrimo veiksmus.
Mažai žinomas faktas: Atakai neprireikė jokių techninių įsilaužimo įrankių; įsilaužėliai tiesiog pasakė Meta AI pokalbių robotui, kad jiems priklauso tikslinė paskyra, ir paprašė susieti paskyrą su nauju el.
Pagrindiniai „Meta AI“ saugos trūkumai
Saugumo tyrėjai nustatė, kad „Meta AI“ trūko patikimo tapatybės patvirtinimo, kai buvo tvarkomi paskyros atkūrimo užklausos, todėl vien pokalbio įvestis leidžia suaktyvinti slaptus veiksmus, pvz., el. pašto keitimą ir slaptažodžio nustatymo iš naujo kelius.
Dėl šios konstrukcijos spragos pokalbių robotas tapo netyčiniu atakos paviršiumi, kuriame socialinė inžinerija galėtų apeiti apsaugą, kurią paprastai užtikrina autentifikavimo sistemos visose paskyros atkūrimo darbo eigose.
Nors „Meta“ įdiegė dviejų veiksnių autentifikavimo apsaugos priemones, pažeidžiamumas parodė, kad dirbtinio intelekto pagrįsti paskyros įrankiai gali netyčia apeiti tradicinius saugos sluoksnius, kai nėra aiškiai susieti su vartotojo patvirtinimo patikra.
Palyginimas su ankstesniais Meta saugumo incidentais
Per pastaruosius dvejus metus „Meta“ susidūrė su daugybe saugumo incidentų, įskaitant didelio masto sukčių pašalinimus ir sukčiavimo kampanijas, skirtas „Facebook“, „Instagram“ ir „WhatsApp“ vartotojams visame pasaulyje.
Likus vos mėnesiams iki šio incidento, „Meta“ pranešė pašalinusi daugiau nei 10,9 mln. sukčiavimo paskyrų ir 159 mln. sukčiavimo skelbimų, vykdydama platesnę kovos su sukčiavimu iniciatyvą visose savo paslaugose.
Šis kontrastas rodo, kad nors išoriniai sukčių tinklai buvo agresyviai nukreipti, vidiniai dirbtinio intelekto sistemų pažeidžiamumai išliko nauja įmonės saugos architektūros akla vieta.
Kodėl greita injekcija kelia vis didesnę grėsmę
Greitos injekcijos atakos įvyksta, kai kenkėjiški vartotojai manipuliuoja AI sistemomis įterpdami instrukcijas į įprastą kalbos raginimus, kad būtų nepaisoma numatytos sistemos elgsenos kūrėjų nenumatytais būdais.
Silpnai patikrinti AI agentai yra ypač pažeidžiami, nes šiandien tvarkydami jautrias vartotojų užklausas palaikymo sistemose visame pasaulyje jie dažnai teikia pirmenybę pokalbių srautui, o ne griežtoms autentifikavimo patikroms.
Saugumo ekspertai perspėja, kad operatyvi injekcija taps vis dažnesnė, nes dirbtinio intelekto sistemos integruojamos į autentifikavimo, klientų aptarnavimo ir paskyros valdymo darbo eigą visose skaitmeninėse platformose visame pasaulyje.
Meta atsakas ir saugumo veiksmų planas
„Meta“ pareiškė, kad pažeidžiamumas buvo pataisytas ir paveiktos paskyros atkuriamos, o papildomos apsaugos priemonės visame pasaulyje peržiūrimos visose jos AI sistemose.
Įmonės pareigūnai pabrėžė, kad jie stengiasi sustiprinti patvirtinimo procesus ir sumažinti priklausomybę nuo pokalbio sukeliančių jautrių paskyros pakeitimų, vykstančių įvairiose platformose visame pasaulyje.
Taip pat tikimasi, kad „Meta“ daugiau investuos į AI saugumo tyrimus, ypač siekdama užkirsti kelią greitam injekcijai ir laikui bėgant tobulinti tapatybės tikrinimą automatinėse palaikymo sistemose.
TL; DR
- Meta AI pažeidžiamumas leido užpuolikams užgrobti Instagram paskyras manipuliuojant pokalbių robotais pagrįstais atkūrimo įrankiais, kuriems nepavyko tinkamai patvirtinti vartotojo tapatybės el. pašto keitimo užklausų metu.
- Ataka rėmėsi apsimetinėjimu ir socialinės inžinerijos metodais, kurie apgaule privertė dirbtinį intelektą siųsti patvirtinimo kodus užpuoliko kontroliuojamais el. pašto adresais.
- „Instagram“ pradėjo siųsti įspėjimus po to, kai nuolatinėse ataskaitose buvo matyti paskyros perėmimai, net ir po to, kai Meta teigė, kad pažeidžiamumas buvo ištaisytas anksčiau 2026 m. birželio mėn.
- „Meta“ patvirtino, kad apsaugojo paveiktas paskyras ir aktyviai atkuria prieigą, tirdama, kodėl išnaudojimas tęsėsi įdiegus pradinį pataisą.
Šis straipsnis buvo sukurtas naudojant dirbtinio intelekto pagalbą ir žmogaus redagavimą.
Jei jums patiko tai, jums taip pat gali patikti:
