Instagram (владелец компания Meta признана в России экстремистской и запрещена) устранил уязвимость, которая позволяла злоумышленникам получать доступ к чужим аккаунтам через ИИ-ассистента службы поддержки Meta (признана в России экстремистской и запрещена) AI. О проблеме, как пишет TechCrunch, стало известно после того, как пользователи Reddit и X (Twitter) заявили об угоне своих профилей.
Среди пострадавших оказались аккаунт Белого дома времен администрации Барака Обамы, неактивный с 2017 года, а также страница главного сержанта Космических сил США Джона Бентивеньи. О взломе своего профиля также рассказала исследователь безопасности Джейн Вонг. По ее словам, пароль был изменен без ее ведома, а накануне она получала многочисленные запросы на его сброс.
Опубликованное в соцсетях видео продемонстрировало предполагаемый механизм атаки. Согласно записи, злоумышленник использовал VPN для имитации местоположения жертвы, после чего обращался к Meta AI Support Assistant с просьбой добавить новый адрес электронной почты к чужому аккаунту. Чат-бот отправлял код подтверждения на указанный злоумышленником адрес, а после его ввода предлагал кнопку сброса пароля. Это позволяло установить новый пароль и получить контроль над учетной записью.
Журналисты TechCrunch подтвердили, что код действительно поступал на публичный почтовый ящик, использованный в демонстрации. При этом злоумышленнику не требовалось получать доступ к электронной почте, которая была изначально привязана к аккаунту жертвы.
Представитель Instagram Энди Стоун сообщил, что проблема уже устранена. Сколько пользователей могли пострадать от уязвимости, в компании не уточнили.
Ранее эксперты назвали главный инструмент хакеров в атаках на госсектор России.