Aa Aa Aa

Хакери викрали облікові записи Instagram, отримавши обманом доступ до чат-бота служби підтримки Meta AІ

Дмитро Сизов

Instagram вирішив проблему безпеки, яка дозволила зламати облікові записи кількох користувачів. Атака, ймовірно, полягала в тому, щоб обманом змусити власного чат-бота підтримки Meta на базі штучного інтелекту надати доступ до облікового запису жертви.

Протягом вихідних кілька користувачів Reddit заявили , що їхні облікові записи в Instagram були скомпрометовані, а низка користувачів X попередили про аналогічні викрадання облікових записів. Серед скомпрометованих облікових записів – нікнейм Білого дому часів Обами в Instagram , який, схоже, був неактивним з 2017 року; та обліковий запис головного майстер-сержанта Космічних сил США Джона Бентівеньї .

Дослідниця з безпеки Джейн Вонг повідомила, що її обліковий запис в Instagram також було захоплено. 

«Пароль було змінено без мого відома, і я отримував різні спроби скидання пароля протягом учорашнього дня», – сказав Вонг. «Досить тривожно». 

У відео , опублікованому на X, показано покроковий процес злому облікового запису жертви в Instagram. Хакер нібито використовував VPN для підробки передбачуваного місцезнаходження жертви, щоб уникнути спрацювання автоматичного захисту облікового запису Instagram. Потім хакер відкрив чат із помічником підтримки Meta AI та попросив бота додати нову адресу електронної пошти до облікового запису жертви. Чат-бот надсилає код підтвердження на адресу електронної пошти, надану хакером; потім хакер ділиться кодом підтвердження з чат-ботом, що спонукає чат-бота показати кнопку «Скинути пароль». Хакер вводить новий пароль та бере контроль над обліковим записом жертви. 

TechCrunch зміг перевірити, чи публічна поштова скринька хакера, яка була показана на відео, фактично отримала код підтвердження. 

Атака спиралася на той факт, що хакеру жодного разу не довелося захоплювати легітимну адресу електронної пошти, пов'язану з обліковим записом жертв в Instagram. 

У понеділок речник Instagram Енді Стоун у відповідь на допис Вонга та інші дописи заявив, що проблему тепер вирішено. Незрозуміло, скільки облікових записів користувачів Instagram отримали несанкціонований доступ.