AI asistent podpory od společnosti Meta pomohl hackerům ukradnout instagramové účty

AI asistent podpory od společnosti Meta pomáhá hackerům získat přístup k významným instagramovým účtům, uvádějí zprávy na sociálních sítích. Bez ověřovací kontroly mohla umělá inteligence změnit e-mailovou adresu spojenou s instagramovým účtem, což by umožnilo aktualizaci hesla.

Meta představila svého AI asistenta podpory již v prosinci s cílem usnadnit zákazníkům přístup k nepřetržité podpoře. Lze jej použít k hlášení podvodů, získávání informací o odstranění obsahu a resetování hesla. Právě druhou možnost dokázali hackeři zneužít. Zranitelnost Instagramu se objevila o víkendu s ukázkami jednoduchých kroků k získání přístupu k účtu. V jedné ukázce hacker požádá AI asistenta podpory o změnu e-mailové adresy propojené s cílovým instagramovým účtem a umělá inteligence to bez otázek udělá. Vše, co bylo potřeba, bylo připojení VPN nastavené na místo poblíž cílového účtu. Zdálo se, že Meta ověřuje vlastnictví účtu na základě polohy.

„Naše systémy rozpoznávají zařízení, které obvykle používáte, a známá místa lépe než kdy dříve,“ uvádí se v blogovém příspěvku společnosti Meta o jejím agentovi podpory. V některých případech byli uživatelé požádáni o ověření své identity pomocí selfie, což se pomocí umělé inteligence obešlo. Po krátkou dobu byl exploit veřejně dostupný a počet převzetí účtů se zvýšil. Jeden bezpečnostní výzkumník uvedl, že telegramové kanály, které nabízejí služby na černém trhu, „vydělaly spoustu peněz“ s umělou inteligencí společnosti Meta. Server 404 Media uvedl, že hackeři o exploitu věděli od března.

Meta problém o víkendu opravila a dnes viceprezident společnosti Meta pro komunikaci Andy Stone uvedl, že problém byl vyřešen. Meta nyní zabezpečuje dotyčné účty. Informace o útoku přicházejí poté, co se hackerům podařilo převzít účty společnosti Sephora, výzkumnice Jane Manchun Wong, vývojáře Alberta Renshawa, který vlastnil @albert, a archivovaný účet Baracka Obamy v Bílém domě. Několik dalších uživatelů nahlásilo, že jim byly ukradeny účty. Někteří uživatelé, kterým byly o víkendu ukradeny účty, nebyli schopni pomocí umělé inteligence získat své účty zpět.