O vulnerabilitate a chatbotului AI al Meta le-a permis hackerilor să preia conturi Instagram
În martie, Meta, compania lui Mark Zuckerberg, a anunţat o nouă funcţie de asistenţă bazată pe Meta AI atât pentru Facebook, cât şi pentru Instagram, oferind utilizatorilor o modalitate de a „rezolva problemele legate de cont” şi de a obţine ajutor pentru eliminarea conturilor care uzurpă identitatea altora sau a înşelătoriilor.
Pe lângă faptul că evidenţiază apetitul aparent nesăţios al industriei tehnologice pentru automatizarea locurilor de muncă din domeniul serviciilor de relaţii cu clienţii prin AI, noua funcţie pare să se fi întors spectaculos împotriva companiei. După cum relatează 404 Media, chatbotul a cooperat fără probleme atunci când hackerii i-au cerut acces la profiluri Instagram de mare notorietate.
Trucul este surprinzător de simplu: după ce au potrivit regiunea geografică a proprietarului contului folosind un VPN, hackerii au cerut chatbotului de suport să schimbe adresa de e-mail asociată profilului, ceea ce le-a permis să finalizeze cu succes autentificarea în doi paşi. Mai grav, vulnerabilitatea exista deja de câteva luni, potrivit mesajelor din grupuri Telegram analizate.
„Fie noul Meta Accounts Center are o eroare, fie contul meu de Instagram este ţinta unei tentative de hacking. Se pare că parola mea a fost schimbată fără ştirea mea / nu am putut să mă autentific folosind parola mea”, a scris într-o postare pe Threads fosta cercetătoare Meta şi auto-proclamată hackeră Jane Wong, potrivit Futurism.
Vulnerabilitatea exploatată evidenţiază probleme serioase de securitate cibernetică care continuă să afecteze chatboţi alimentaţi de inteligenţă artificială. Au existat numeroase cazuri în care instrumente bazate pe modele lingvistice mari (LLM) au fost păcălite, forţate să ofere informaţii false sau au „halucinat” politici corporative inexistente, generând confuzie şi chiar procese.
Experţii avertizează de mult timp împotriva furnizării de informaţii personale chatboţilor AI, invocând riscul scurgerilor de date. Meta, în special, şi-a creat reputaţia de a trata datele utilizatorilor cu prea puţină grijă. În martie, de exemplu, publicaţia The Information a relatat că un agent AI intern a provocat un incident critic de securitate la Meta, expunând date sensibile ale utilizatorilor unor persoane fără autorizaţia necesară.
Deşi nu este clar dacă aceste incidente au fost legate de cea mai recentă vulnerabilitate, informaţia apare după compromiterea mai multor conturi Instagram importante, inclusiv cele ale fostului preşedinte american Barack Obama şi ale lui John Bentivegna.
Potrivit 404 Media, hackerii ofereau acces la conturi de profil înalt în schimbul unor sume relativ mici de bani, exploatând această vulnerabilitate.
Din fericire, Meta pare să fi remediat problema. Totuşi, având în vedere că vulnerabilitatea a fost descoperită cu luni în urmă, amploarea daunelor ar putea fi semnificativă.
Angajaţi ai Meta spun că observă lucruri tulburătoare prin intermediul ochelarilor inteligenţi ai utilizatorilor.
