Narepair na ng Instagram ang isang problema sa kaligtasan ng account. Ayon sa ulat ng TechCrunch, ang mga hacker ay nakakapagpapadala ng mga bagong email address sa mga account ng iba sa pamamagitan ng pagpapahintulot sa AI customer service bot ng Meta, na nagpapagana sa pag-reset ng password at sa huli ay nagpapakita ng kontrol sa account.
Maraming user ang nagsabing nasira ang kanilang account
Nagkaroon ng pansin ang insidente sa weekend. Maraming user sa Reddit at X ang nagsabing nasira ang kanilang account, kabilang ang Instagram account ng White House noong panahon ng administrasyon ni Obama at ang account ng Chief Master Sergeant ng United States Space Force, John Bentinvegna. Binigkas din ni Jane Wong, isang researcher sa seguridad, na nasakop at binago ang password ng kanyang account nang hindi niya alam.
Ang proseso ng pag-atake ay naglalabas sa kontrol ng orihinal na email
Ayon sa ulat, unang ginamit ng mga attacker ang VPN upang i-impersonate ang lokasyon ng target, upang mabawasan ang posibilidad ng pag-trigger ng automated risk control ng platform. Pagkatapos, nagmagsalita ang mga attacker sa Meta AI Support Assistant at humiling na idagdag ang isang bagong email address sa account ng target.
Sa demo video, ang customer service bot ay magpapadala ng verification code sa email na ibinigay ng attacker. Pagkatapos, babalikin ng attacker ang verification code sa bot, at matapos nito, lalabas ang button na “Reset Password”. Pagkatapos ng hakbang na ito, makakapag-set ang attacker ng bagong password at makakakuha ng kontrol sa account.
Sinabi ng TechCrunch na nilinaw nila ang email na ipinakita sa video, at natukoy na talaga ang email na iyon ang natanggap ng verification code. Sa buong proseso, hindi kailangan ng attacker na kontrolin ang orihinal na email na nakakonekta sa biktima.
Nilagay na ng Meta ang vulnerability
Sinabi ng tagapagsalita ng Instagram, Andy Stone, sa isang post sa social media noong Lunes na nalutas na ang problema. Gayunpaman, hindi pa binigay ng Meta kung ilang user ang naapektuhan.
Batay sa mga nareport na impormasyon, ipinakita ng insidente na ang mga AI customer service tool ay maaaring gamitin para sa account takeover kung mayroon silang awtoridad na baguhin ang mga mahahalagang impormasyon ng account at kung ang proseso ng pag-verify ng identity ay hindi sapat. Hindi agad sumagot ang Meta sa karagdagang hiling para sa komento mula sa TechCrunch hanggang sa paglabas ng ulat.