Mais de uma semana atrás, o assistente de bate-papo baseado em IA da Meta involuntariamente deu aos hackers acesso a milhares de contas do Instagram, incluindo contas de alto perfil, como a varejista de maquiagem Sephora e o principal suboficial da Força Espacial dos EUAassim como O programa de Barack Obama na Casa Branca.
O número exato foi revelado mais tarde arquivamento regulatório Ele atuou como gerente geral do Gênova. O total é de 20.225 contas suspeitas (30 das quais eram residentes do Maine).
hackear relatado pela mídia CDIV Na semana passada foi fácil reprimir os titulares de contas que não permitiam a autenticação de dois fatores. Os hackers simplesmente pediram aos robôs com tecnologia de IA que alterassem o endereço de e-mail da conta alvo. Assim que isso foi concedido, os hackers solicitaram uma redefinição de senha, solicitando que a IA enviasse o código para um endereço de e-mail pessoal. Depois que os hackers verificaram a redefinição da senha, eles conseguiram obter acesso à conta.
Uma nota editada processamento de vídeo também apareceu em X, mostrando como os hackers Ele usou uma VPN para parecer estar no alvo. Em nenhum momento os hackers precisaram do endereço de e-mail ou da senha original do usuário.
Em um carta informativa sobre incidente O procurador-geral do Maine, Aaron Frey, em 5 de junho, reconheceu o Meta como “uma vulnerabilidade no sistema de recuperação de contas assistido por IA do Instagram… que está sendo explorado por terceiros legítimos para fornecer senhas para contas de usuários do Instagram”.
Após a publicação do fato, muitos usuários do Instagram relataram Reddit e X seus planos foram descartados, embora a extensão das pegadinhas não estivesse clara na época. Um porta-voz da Meta postado em X* Essa façanha está marcada para 1º de junho, logo após o relatório inicial.
Como a IA pode ser hackeada?
O problema é que quase todos os servidores de suporte do Meta agora são executados por IA. O gigante da tecnologia Ele fez a troca em março, dizendo que eles “fornecem suporte 24 horas por dia, 7 dias por semana, para problemas de conta, como atualização de senha e configurações de perfil”.
Mas com um chatbot de IA cuidando de todo o processo, as pessoas não poderiam intervir quando atividades suspeitas começassem. Isso permitiu que hackers realizassem um ataque de engenharia social e o derrubassem várias vezes antes que alguém percebesse.
As contas afetadas foram fechadas à força para todos os usuários e os endereços de e-mail foram restaurados. Os usuários são então instruídos a redefinir suas senhas e autenticar novamente seus logins. Meta diz que assim que as contas forem verificadas, uma segunda notificação será enviada para lembrá-los de ativar a autenticação de dois fatores para evitar ataques futuros.
Meta ainda não respondeu a um pedido de comentário.
Como se proteger de tais ataques
O recurso de rede social tinha uma limitação importante: não funcionava com sistemas de autenticação multifatorial. Essas contas já tiveram o código selecionado em sua autenticação ou o receberam por mensagem de texto. Sem a configuração de MFA, um código de redefinição único parece ser enviado para o endereço de e-mail selecionado, o que os hackers podem fazer bem.
A melhor maneira de se proteger é habilitar a autenticação multifator, que está disponível em todas as plataformas Meta. Isto isso não mantém você 100% do tempomas é muito melhor que uma senha por si só e está totalmente protegida por esse fato.
Existem outras coisas que você pode fazer carne bovina no sistema de segurançaincluindo senhas de usuário, quando disponíveis, e endereços de e-mail privados para dificultar a localização das credenciais da sua conta.
