Instagram a corrigé un problème de sécurité de compte. Selon TechCrunch, les attaquants ont pu un moment induire le chatbot d'assistance IA de Meta à ajouter une nouvelle adresse e-mail à un compte tiers, déclenchant ainsi une réinitialisation de mot de passe et permettant finalement la prise de contrôle du compte.
Plusieurs utilisateurs ont déclaré que leurs comptes avaient été compromis.
Cet événement a attiré l'attention pendant le week-end. Plusieurs utilisateurs sur Reddit et X ont déclaré que leurs comptes avaient été compromis, y compris le compte Instagram de la Maison-Blanche pendant l'administration d'Obama et celui du sergent-chef de l'United States Space Force, John Bentinvegna. La chercheuse en sécurité Jane Wong a également déclaré que son compte avait été modifié et pris en charge sans son autorisation.
Le processus d'attaque contournant le contrôle de l'adresse e-mail d'origine
Les rapports indiquent que les attaquants ont d'abord utilisé un VPN pour se faire passer pour se trouver à l'emplacement cible, réduisant ainsi la probabilité de déclenchement des systèmes de contrôle de risque automatisés de la plateforme. Ensuite, les attaquants ont entamé une conversation avec l'assistant d'assistance Meta AI pour demander l'ajout d'une nouvelle adresse e-mail au compte cible.
Dans la vidéo de démonstration, le chatbot client envoie le code de vérification à l'adresse e-mail fournie par l'attaquant. L'attaquant saisit ensuite ce code de vérification dans le chatbot, ce qui déclenche l'apparition du bouton « Réinitialiser le mot de passe ». Une fois cette étape accomplie, l'attaquant peut définir un nouveau mot de passe et prendre le contrôle du compte.
TechCrunch a vérifié l'adresse e-mail affichée dans la vidéo et a confirmé qu'elle a bien reçu le code de vérification. Tout au long du processus, l'attaquant n'avait pas besoin de prendre le contrôle de l'adresse e-mail initialement liée à la victime.
Meta indique que la vulnérabilité a été corrigée.
Le porte-parole d'Instagram, Andy Stone, a répondu lundi sur la plateforme sociale que le problème avait été résolu. Toutefois, Meta n'a pas encore précisé le nombre d'utilisateurs concernés.
D'après les informations divulguées, cet incident révèle que, si les outils d'assistance IA ont accès à la modification des informations cruciales du compte et que le processus de vérification d'identité est insuffisant, ils pourraient être utilisés pour prendre le contrôle des comptes. À la publication de cet article, Meta n'a pas répondu immédiatement à la demande de commentaire supplémentaire de TechCrunch.