Μια πρόσφατη ανακάλυψη τρόμαξε τους χρήστες του Instagram, καθώς αποκαλύφθηκε ότι ένα σημαντικό σφάλμα στην τεχνητή νοημοσύνη της Meta για την ανάκτηση λογαριασμών διευκόλυνε παραβιάσεις υψηλού επιπέδου. Αυτή η ευπάθεια έκανε δυνατό για εισβολείς να εξαπατήσουν το chatbot, αποκτώντας πρόσβαση σε κωδικούς επαναφοράς χωρίς καμία διαδικασία επαλήθευσης.
Οι ερευνητές ασφαλείας ZachXBT και Dark Web Informer έγιναν οι πρώτοι που δημοσιοποίησαν την ευπάθεια, αναφέροντας ότι οι επιτιθέμενοι μπόρεσαν να διαβρώσουν τον βοηθό AI της Meta, ο οποίος δημιουργήθηκε για να διευκολύνει την ανάκτηση λογαριασμών.
Οι δράστες αντάλλαξαν μηνύματα με το chatbot και το παρακίνησαν να στείλει κωδικούς επαναφοράς σε τρίτους χωρίς κανέναν έλεγχο ταυτότητας. Το πρόβλημα εντοπίστηκε στην ελλιπή ασφάλεια των διαδικασιών που ρυθμίζουν την επεξεργασία αιτημάτων ανάκτησης, δίνοντας τη δυνατότητα σε οποιονδήποτε γνώριζε το όνομα χρήστη των θυμάτων να ξεκινήσει τη διαδικασία ανακατασκευής του λογαριασμού.
Αξιοσημείωτο είναι ότι η παραβίαση αυτή δεν σχετίζεται με καμία παραδοσιακή αδυναμία ενός διακομιστή. Η Meta επιβεβαίωσε ότι δεν υπήρξε παραβίαση συστημάτων, καθώς το σφάλμα αφορούσε καθαρά τη λογική του AI, το οποίο δεν είχε σωστούς μηχανισμούς ελέγχου ταυτότητας και περιορισμού για να προσδιορίσει την εγκυρότητα των αιτημάτων επαναφοράς.
Στοχευμένοι λογαριασμοί Instagram υψηλής αξίας
Οι επιτιθέμενοι στράφηκαν σε ιδιαίτερα αξιόλογους λογαριασμούς, όπως αυτοί που περιλάμβαναν ονόματα χρηστών με μεγάλη ζήτηση, όπως @hey και @jowo. Αυτοί οι λογαριασμοί είναι γνωστό ότι κυκλοφορούν σε υπόγειες αγορές και φέρουν αξίες που ξεπερνούν το 1 εκατομμύριο δολάρια συνολικά.
Αυτοί οι περιζήτητοι λογαριασμοί μεταφέρθηκαν γρήγορα μέσω ιδιωτικών καναλιών επικοινωνίας, όπως το Telegram, προτού η Meta προλάβει να αντιδράσει. Οι ταχείες αυτές ενέργειες καταδεικνύουν τη σοβαρότητα της οργάνωσης και των κινήτρων των υπευθύνων που εκμεταλλεύονται τις ευπάθειες των κοινωνικών πλατφορμών.
Το Dark Web Informer επιβεβαίωσε την πώληση κλεμμένων λογαριασμών, παρακολουθώντας τις σχετικές αγγελίες σε πραγματικό χρόνο – μια όλο και πιο κοινή πρακτική στον κόσμο της διαδικτυακής εγκληματικότητας.
Η Meta προχώρησε άμεσα στην διόρθωση του προβλήματος, εκδίδοντας επίσημη δήλωση που ανέφερε: «Διορθώσαμε ένα πρόβλημα που επέτρεπε σε τρίτους να ζητούν επαναφορά κωδικών πρόσβασης για ορισμένους λογαριασμούς στο Instagram. Δεν υπήρξε παραβίαση των συστημάτων μας, και οι λογαριασμοί των χρηστών παραμένουν ασφαλείς.
Ωστόσο, το περιστατικό εγείρει ανησυχίες γύρω από την ασφάλεια των εργαλείων υποστήριξης που χρησιμοποιούν AI και τις επιπτώσεις τους στην επαναφορά λογαριασμών.
Πώς να προστατέψετε τον λογαριασμό σας στο Instagram
Ωστόσο, οι λογαριασμοί που είχαν ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων (2FA) δεν υπέστησαν ζημία κατά την επίθεση. Οι ειδικοί στον τομέα της ασφάλειας προτείνουν τα εξής βήματα για τη μέγιστη προστασία:
- Ενεργοποίηση 2FA μέσω εφαρμογής (π.χ. Google Authenticator ή Authy) και όχι μέσω SMS.
- Χρήση ενός ιδιωτικού email, που δεν σχετίζεται δημόσια με το λογαριασμό σας στο Instagram.
- Αποφυγή επαναχρησιμοποίησης κωδικών πρόσβασης σε διαφορετικές πλατφόρμες και χρήση ενός διαχειριστή κωδικών.
- Τακτικός έλεγχος δραστηριότητας σύνδεσης κάτω από τις ρυθμίσεις ασφαλείας του Instagram.
- Ασφαλής αποθήκευση εφεδρικών κωδικών για επαναφορά του λογαριασμού σε περίπτωση ανάγκης.
Οι άμεσες ενέργειες της Meta αναδεικνύουν μια σημαντική ανησυχία: καθώς το AI αποκτά περισσότερη πρόσβαση σε κρίσιμες διαδικασίες διαχείρισης λογαριασμών, η ευπάθειά τους σε περιστατικά κοινωνικής μηχανικής απαιτεί αυστηρότερες ασφάλειες.
