Το ίδιο το AI chatbot υποστήριξης της Meta φαίνεται ότι βοήθησε τους χάκερς να αναλάβουν τον έλεγχο αρκετών λογαριασμών στο Instagram χρησιμοποιώντας μια απλή τεχνική. Κατά τη διάρκεια του Σαββατοκύριακου, χακτιβιστές που φαίνεται να υποστηρίζουν το Ιράν κατάφεραν να παραβιάσουν τους επίσημους λογαριασμούς στο Instagram του Λευκού Οίκου του Μπαράκ Ομπάμα, της αλυσίδας καλλυντικών Sephora και του Αρχιλοχία της US Space Force. Η Meta, μητρική εταιρεία του Instagram, έχει πλέον αποκλείσει τους χάκερς. Ωστόσο, κυκλοφορούν βίντεο στην εφαρμογή ανταλλαγής μηνυμάτων Telegram που φέρεται να δείχνουν ότι το ίδιο το chatbot υποστήριξης της εταιρείας έπαιξε καθοριστικό ρόλο στην παροχή πρόσβασης στους λογαριασμούς. Μια εξήγηση που συνοδεύει ένα από τα βίντεο αναφέρει ότι ένας εισβολέας πρέπει να συνδεθεί στη σελίδα σύνδεσης του Instagram χρησιμοποιώντας μια διεύθυνση IP που βρίσκεται στην ίδια περιοχή με τον λογαριασμό που επιθυμεί να καταλάβει. Αυτό μπορεί να επιτευχθεί χρησιμοποιώντας ένα VPN. Στη συνέχεια, ο εισβολέας πρέπει να κάνει κλικ στην επιλογή «Ξέχασα τον κωδικό πρόσβασης» και να πληκτρολογήσει το όνομα χρήστη του λογαριασμού-στόχου. Μπορεί να εμφανιστεί ένα κουμπί για πρόσβαση στο bot υποστήριξης AI της Meta που ονομάζεται «Get Support». Instagram: Τέλος στα ορθογραφικά λάθη – Μπορείτε πλέον να επεξεργάζεστε τα σχόλιά σας Instagram: Ειδοποιήσεις «SOS» στους γονείς για αναζητήσεις εφήβων σχετικά με αυτοτραυματισμό Προς το παρόν, η Meta έχει δηλώσει επίσημα μόνο: «Το ζήτημα αυτό έχει επιλυθεί και εξασφαλίζουμε τους λογαριασμούς που επηρεάστηκαν». Ωστόσο, το περιστατικό φαίνεται να υπογραμμίζει τον τρόπο με τον οποίο τα chatbots που υποστηρίζονται από τεχνητή νοημοσύνη μπορούν να εισάγουν ευπάθειες σε διαδικτυακά συστήματα, ειδικά αν τους δοθούν δικαιώματα για την αλλαγή των ρυθμίσεων λογαριασμού. Το 404Media αποκάλυψε επίσης ενδείξεις ότι η τεχνική εκμετάλλευσης ενδέχεται να υπήρχε εδώ και μήνες, τουλάχιστον από τον Μάρτιο. Δεν είναι απολύτως σαφές αν το κενό ασφαλείας θα μπορούσε να παραβιάσει λογαριασμούς που προστατεύονται από έλεγχο ταυτότητας δύο παραγόντων. Εντοπίσαμε ορισμένους χρήστες στο Telegram να αναφέρουν ότι δεν μπορούσαν να χρησιμοποιήσουν την εκμετάλλευση σε λογαριασμούς με 2FA. Ωστόσο, ορισμένοι χρήστες αναφέρουν ότι έχασαν τον λογαριασμό τους από τους χάκερς, παρά την ύπαρξη 2FA. Παρά τη δήλωση της Meta, χρήστες αναφέρουν ότι δυσκολεύονται να ανακτήσουν τους παραβιασμένους λογαριασμούς τους, αφού η τεχνική εκμετάλλευσης αποκαλύφθηκε ευρέως το Σαββατοκύριακο. Εν τω μεταξύ, οι χρήστες του Instagram μπορούν να εξετάσουν το ενδεχόμενο ενεργοποίησης της ρύθμισης 2FA για να αποτρέψουν πιθανές παραβιάσεις. [UPDATE] Ο εκπρόσωπος της Meta, Andy Stone, έγραψε στο X: «Ενώ έχουμε ήδη ασφαλίσει τους λογαριασμούς που επηρεάστηκαν, τώρα εργαζόμαστε για να αποκαταστήσουμε την πρόσβαση στα άτομα που επηρεάστηκαν. Ορισμένοι χρήστες ενδέχεται να λάβουν ειδοποιήσεις για επαναφορά κωδικού πρόσβασης και σε ορισμένους ενδέχεται να τεθούν ερωτήσεις ασφαλείας όταν προσπαθήσουν να συνδεθούν στους λογαριασμούς τους». Πρόσθεσε: «Στην πραγματικότητα, η ενεργοποίηση της επαλήθευσης δύο παραγόντων εμπόδισε τους κακόβουλους χρήστες να αποκτήσουν πλήρη πρόσβαση σε έναν λογαριασμό», απορρίπτοντας τις αναφορές σχετικά με το ότι το exploit λειτουργούσε σε λογαριασμούς με 2FA.
