У грудні Meta анонсувала нового асистента підтримки на базі ШІ, який мав зробити відновлення доступу до заблокованих акаунтів Facebook та Instagram «швидшим і простішим». Зараз виглядає так, що компанія могла надто добре виконати цю обіцянку.
Той самий асистент підтримки Meta AI, як з’ясувалося, зловмисники використали для захоплення низки акаунтів Instagram. За даними дослідників безпеки, інструмент на базі ШІ робив процес захоплення акаунтів надзвичайно простим, навіть якщо вони були захищені двофакторною автентифікацією.
Про експлойт у вихідні повідомили кілька фахівців із кібербезпеки в X. За їхніми словами, у Telegram активно поширювалися інструкції щодо захоплення акаунтів, а також скриншоти та відео з демонстрацією таких атак. На цих матеріалах видно, що хакерам було достатньо просто попросити чат-бот служби підтримки змінити електронну пошту, прив’язану до потрібного їм акаунта, а потім ініціювати скидання пароля.
Meta вже усунула проблему, але поки незрозуміло, скільки облікових записів встигли постраждати до встановлення виправлення. За даними 404 Media, користувачі в Telegram обговорювали цю вразливість ще з березня. У відповідь на запит Engadget у Meta послалися на допис віцепрезидента з комунікацій Енді Стоуна в X. «Цю проблему вирішено, і ми забезпечуємо безпеку постраждалих акаунтів», — написав Стоун у відповіді на допис про масові захоплення сторінок.
Хоча Meta не надала додаткових подробиць, чому в інструменті підтримки на основі ШІ могла з’явитися настільки серйозна вразливість, схоже, що зловмисники з’ясували: чат-бот Meta покладався на фізичне місцезнаходження власника акаунта для надання підтримки. Як повідомляє Neowin, тепер уже виправлений експлойт вимагав від хакерів використання VPN, щоб їхня локація збігалася з місцем перебування людини, чий акаунт вони намагалися захопити. «Наші системи як ніколи добре розпізнають пристрій, який ви зазвичай використовуєте, та знайомі для вас місця», — йшлося в грудневому блозі Meta про інструмент підтримки на базі ШІ.