อินสตาแกรมได้แก้ไขปัญหาความปลอดภัยของบัญชีแล้ว ตามรายงานของ TechCrunch ผู้โจมตีเคยสามารถหลอกลวงหุ่นยนต์บริการลูกค้า AI ของ Meta เพื่อเพิ่มที่อยู่อีเมลใหม่ให้กับบัญชีของผู้อื่น และกระตุ้นการรีเซ็ตรหัสผ่าน จนสามารถยึดครองบัญชีได้
ผู้ใช้หลายคนรายงานว่าบัญชีถูกบุกรุก
เหตุการณ์นี้ได้รับความสนใจในช่วงสุดสัปดาห์ ผู้ใช้หลายคนบน Reddit และ X รายงานว่าบัญชีของพวกเขาถูกบุกรุก รวมถึงบัญชี Instagram ของทำเนียบขาวในสมัยรัฐบาลโอบามา และบัญชีของผู้บัญชาการทหารอากาศสหรัฐฯ John Bentinvegna นักวิจัยด้านความปลอดภัย Jane Wong ยังระบุว่าบัญชีของเธอถูกเปลี่ยนรหัสผ่านและควบคุมโดยไม่ได้รับอนุญาตจากเธอ
ขั้นตอนการโจมตีหลีกเลี่ยงการควบคุมอีเมลเดิม
รายงานแสดงว่า ผู้โจมตีเริ่มต้นด้วยการใช้ VPN เพื่อปลอมแปลงตำแหน่งเป้าหมาย เพื่อลดความเป็นไปได้ที่ระบบป้องกันความเสี่ยงอัตโนมัติของแพลตฟอร์มจะถูกกระตุ้น จากนั้น ผู้โจมตีจึงเริ่มการสนทนา với Meta AI Support Assistant เพื่อขอเพิ่มที่อยู่อีเมลใหม่ให้กับบัญชีเป้าหมาย
ในวิดีโอสาธิต โรบอตบริการลูกค้าจะส่งรหัสยืนยันไปยังอีเมลที่ผู้โจมตีให้มา ผู้โจมตีจะกรอกรหัสยืนยันกลับเข้าไปในโรบอต ระบบจะแสดงปุ่ม “รีเซ็ตรหัสผ่าน” หลังจากขั้นตอนนี้เสร็จสิ้น ผู้โจมตีสามารถตั้งรหัสผ่านใหม่และควบคุมบัญชีได้
TechCrunch ระบุว่าได้ยืนยันอีเมลที่แสดงในวิดีโอ และพบว่าอีเมลดังกล่าวได้รับรหัสยืนยันจริง ผู้โจมตีไม่จำเป็นต้องควบคุมอีเมลเดิมที่ผู้ถูกโจมตีเชื่อมโยงไว้ในกระบวนการนี้
Meta ระบุว่าช่องโหว่ได้รับการแก้ไขแล้ว
ผู้พูดของ Instagram แอนดี้ สโตน ได้ตอบกลับโพสต์ที่เกี่ยวข้องบนแพลตฟอร์มโซเชียลในวันจันทร์ว่า ปัญหานี้ได้รับการแก้ไขแล้ว อย่างไรก็ตาม Meta ยังไม่ได้เปิดเผยว่ามีผู้ใช้กี่รายที่ได้รับผลกระทบ
จากข้อมูลที่เปิดเผย กรณีนี้แสดงให้เห็นว่า หากเครื่องมือ AI บริการลูกค้ามีสิทธิ์แก้ไขข้อมูลสำคัญของบัญชี และกระบวนการยืนยันตัวตนไม่เพียงพอ อาจถูกใช้เพื่อเข้าควบคุมบัญชีได้ เมตาไม่ได้ตอบสนองต่อคำขอความคิดเห็นเพิ่มเติมจาก TechCrunch จนถึงเวลาที่รายงานนี้เผยแพร่