幣界網報導:
Instagram 已修復一項帳戶安全問題。根據 TechCrunch 報導,攻擊者曾可透過誘導 Meta 的 AI 客服機器人,為他人帳戶新增郵箱地址,並進一步觸發密碼重置,最終接管帳戶。
多名用戶稱帳號被入侵
這起事件在週末引發關注。Reddit 和 X 上有多名用戶稱帳號被入侵,受影響的帳號還包括奧巴馬政府時期白宮的 Instagram 帳號,以及美國太空軍總軍士長 John Bentinvegna 的帳號。安全研究員 Jane Wong 也表示,她的帳號曾在本人不知情的情況下被修改密碼並被接管。
攻擊流程繞過原郵箱控制
報導顯示,攻擊者先透過 VPN 偽裝目標所在地,以降低平台自動風控觸發的機率。隨後,攻擊者與 Meta AI Support Assistant 發起對話,要求為目標帳戶新增一個郵箱地址。
在演示影片中,客服機器人會將驗證碼發送到攻擊者提供的郵箱。攻擊者再將驗證碼回填給機器人,系統隨後出現「重置密碼」按鈕。完成這一步後,攻擊者即可設定新密碼並取得帳號控制權。
TechCrunch 表示,其核實了影片中公開展示的郵箱,確認該郵箱確實收到了驗證碼。整個過程中,攻擊者並不需要先控制受害者原本綁定的郵箱。
Meta 表示漏洞已修復
Instagram 發言人 Andy Stone 周一在社交平台回覆相關貼文時表示,此問題已修復。不過,Meta 暫未說明究竟有多少用戶受到影響。
從已披露的情況看,這起事件暴露出 AI 客服工具一旦擁有修改賬號關鍵資訊的權限,且身份核驗流程不足,就可能被用於賬號接管。Meta 至報導發布時尚未立即回應 TechCrunch 的進一步評論請求。