Масштабна хакерська кампанія, у якій зловмисники просто просили чатбот Meta AI «переписати» на них облікові записи Instagram жертв, схоже, тривала навіть після того, як компанія заявила про усунення проблеми. Тим часом Meta намагається убезпечити атаковані акаунти та повідомити постраждалих.
У вихідні хакери заявили, що використовують чатбот підтримки Meta на основі ШІ для захоплення кількох помітних облікових записів Instagram. Паралельно велика кількість користувачів у соцмережах скаржилася, що їхні акаунти було зламано, зокрема облікові записи з унікальними короткими нікнеймами.
TechCrunch бачив приклади нібито зламаних імен користувачів, що складалися зі звичайних імен або назв країн. Такі облікові записи можна перепродавати майже як колекційні у «сірому» ринку так званих OG‑хенделів. Серед інших жертв хвилі атак, за повідомленнями, були неактивний акаунт Білого дому часів Обами (що Meta заперечила), а також акаунт головного сержанта ВПС США Космічних сил Джона Бентівеньї.
Атаки були настільки простими, що називати їх «зламом» може бути занадто великою честю для причетних, і водночас недостатньо критикувати Meta за те, що компанія не запобігла настільки примітивним захопленням акаунтів.
Хакери просто казали чатботу Meta AI, що вони є власниками цільового акаунта, і просили привʼязати цей обліковий запис до електронної пошти, якою вони володіють. Чатбот виконував запит, що дозволяло зловмисникам скинути пароль від акаунта жертви й отримати над ним контроль — у деяких випадках повністю блокуючи доступ справжнім власникам. На жодному етапі в цей процес не були залучені співробітники або підрядники Meta.
У понеділок речник Meta Енді Стоун заявив, що «проблему, яка мала місце, вже усунуто».
Однак у вівторок ще більше користувачів Instagram повідомили, що їхні акаунти було зламано.
Паралельно TechCrunch спостерігав обговорення в Telegram‑каналі, де ця техніка зламу була оприлюднена. Учасники стверджували, що все ще можуть експлуатувати чатбот Meta AI, і рекламували на продаж нібито зламані імена користувачів, зокрема на момент написання матеріалу. (Варто зазначити, що важко достеменно встановити, чи всі ці акаунти було зламано саме описаним методом.)
У пізнішому дописі в X Стоун написав: «Деякі люди можуть отримувати сповіщення про скидання пароля, а деяких можуть попросити відповісти на контрольні запитання під час спроби увійти у свої облікові записи».
У коментарі TechCrunch електронною поштою Стоун повідомив, що Meta у понеділок захистила уражені акаунти, а потім почала розсилати листи з посиланнями для скидання пароля. На запитання TechCrunch про кількість зламаних акаунтів Стоун відповідати відмовився.
Кілька людей повідомили, що Meta почала сповіщати користувачів, які стали обʼєктами атак. Потерпілі публічно ділилися отриманими від Instagram листами з попередженням, що компанія «виявила підозрілу активність, яка свідчить, що ваш Instagram міг бути зламаний». У повідомленні також йшлося, що компанія вжила заходів для захисту акаунта і просила користувача змінити пароль.
Як зазначило видання 404 Media, у березні Meta оголосила про впровадження ШІ для автоматизації підтримки користувачів, заявивши, що чатбот на основі штучного інтелекту «розроблений для вирішення проблем з акаунтами від початку до кінця» і матиме змогу «безпечного скидання пароля». Це означає, що чатбот може виконувати дії, які раніше, ймовірно, потребували обовʼязкової участі людини, враховуючи їхню критичність.
Протягом років існує розвинений ринок, де хакери викрадали й продавали «OG»‑юзернейми — тобто імена користувачів та хендели, які отримали найперші користувачі Instagram. Раніше для захоплення таких акаунтів необхідні були значно складніші стратегії: фішинг жертви, перехоплення її номера телефону або підкуп інсайдерів у телеком‑компаніях.
У цьому випадку хакери просто попросили, і чатбот Meta чемно виконав запит.