Χάκερ εκμεταλλεύτηκαν το chatbot του Meta για να παραβιάσουν λογαριασμούς Instagram.
Η Meta αντιμετώπισε πρόσφατα ένα περιστατικό ασφαλείας που αφορούσε το chatbot της με τεχνολογία τεχνητής νοημοσύνης, αφότου χάκερ εκμεταλλεύτηκαν το εργαλείο για να θέσουν σε κίνδυνο αρκετούς λογαριασμούς Instagram.
Όταν τα chatbots γίνονται ευπάθεια ασφαλείας
Σύμφωνα με την έρευνα της Tuoi Tre Online , αρκετές διεθνείς ιστοσελίδες τεχνολογίας υποδηλώνουν ότι ο εισβολέας χειραγώγησε το chatbot της Meta για να προσθέσει νέες διευθύνσεις email στον λογαριασμό-στόχο και στη συνέχεια χρησιμοποίησε τη διαδικασία επαναφοράς κωδικού πρόσβασης για να αποκτήσει τον έλεγχο.
Το περιστατικό υπογραμμίζει έναν νέο κίνδυνο στο κύμα επιχειρήσεων που ενσωματώνουν την Τεχνητή Νοημοσύνη στην εξυπηρέτηση πελατών, ειδικά όταν τα chatbots συνδέονται με ευαίσθητες εργασίες όπως η επαλήθευση ταυτότητας, η αλλαγή πληροφοριών ανάκτησης ή η βοήθεια στην ανάκτηση λογαριασμού.
Αξίζει να σημειωθεί ότι αυτός ο τύπος επίθεσης δεν απαιτεί απαραίτητα κακόβουλο λογισμικό, συνδέσμους ηλεκτρονικού "ψαρέματος" (phishing) ή πρόσβαση στην αρχική διεύθυνση email του θύματος. Αντίθετα, οι χάκερ εκμεταλλεύονται τον αυτοματοποιημένο μηχανισμό υποστήριξης της πλατφόρμας , αναγκάζοντας το chatbot να εκτελεί ενέργειες που θα έπρεπε να υπόκεινται σε αυστηρή επαλήθευση ταυτότητας.
Σύμφωνα με πληροφορίες, στους επηρεαζόμενους λογαριασμούς περιλαμβάνονται αρκετοί εξέχοντες, όπως ο παλιός λογαριασμός Instagram του Λευκού Οίκου από την εποχή του πρώην προέδρου Μπαράκ Ομπάμα, ο λογαριασμός της Sephora και ένας ανώτερος αξιωματούχος της Διαστημικής Δύναμης των ΗΠΑ. Ορισμένοι λογαριασμοί, αφού παραβιάστηκαν, τροποποιήθηκαν ή χρησιμοποιήθηκαν για την ανάρτηση άσχετων μηνυμάτων.
Ο Meta δήλωσε ότι το πρόβλημα έχει επιλυθεί και η εταιρεία προστατεύει τους επηρεαζόμενους λογαριασμούς. Ωστόσο, το περιστατικό εξακολουθεί να εγείρει το μεγάλο ερώτημα σχετικά με το εάν η Τεχνητή Νοημοσύνη θα πρέπει να αναλάβει τον χειρισμό ευαίσθητων βημάτων στη διαδικασία ανάκτησης λογαριασμών.
Ουσιαστικά, δεν πρόκειται για μια εξελιγμένη κυβερνοεπίθεση με την παραδοσιακή έννοια. Οι χάκερ δεν χρειάζεται να παραβιάσουν την κρυπτογράφηση ή να διεισδύσουν σε διακομιστές. «Ξεγελούν» το chatbot με αιτήματα που έχουν σχεδιαστεί για να κάνουν το σύστημα να πιστέψει ότι το άτομο που επικοινωνεί μαζί τους είναι ο νόμιμος κάτοχος του λογαριασμού.
Οι ειδικοί ασφαλείας αποκαλούν αυτό το είδος επίθεσης μια μορφή χειραγώγησης της Τεχνητής Νοημοσύνης, παρόμοια με την άμεση έγχυση. Με τα τυπικά chatbot, η συνέπεια μπορεί να είναι απλώς μια λανθασμένη απάντηση. Αλλά όταν ένα chatbot είναι συνδεδεμένο σε ένα σύστημα που έχει την εξουσία να αλλάξει τα στοιχεία του λογαριασμού, να επαναφέρει το email ή να βοηθήσει στην ανάκτηση του κωδικού πρόσβασης, μια μόνο λανθασμένη απάντηση μπορεί να μετατραπεί σε ένα πραγματικό περιστατικό ασφαλείας.
Το περιστατικό υπογραμμίζει επίσης τα ασαφή όρια μεταξύ της υποστήριξης πελατών και της ασφάλειας του λογαριασμού. Προηγουμένως, ενέργειες όπως η αλλαγή email ανάκτησης, η επαναφορά κωδικών πρόσβασης ή η επαλήθευση της ιδιοκτησίας του λογαριασμού απαιτούσαν πολυεπίπεδες διαδικασίες, που μερικές φορές περιλάμβαναν ανθρώπινη εποπτεία. Με τον αυτοματισμό της τεχνητής νοημοσύνης, τα συστήματα χρειάζονται ισχυρότερες δικλείδες ασφαλείας, όχι μόνο να βασίζονται στην «κατανόηση των συμφραζομένων» των chatbot.
Τι μπορούν να κάνουν οι χρήστες για να προστατεύσουν τους λογαριασμούς τους;
Για τους μέσους χρήστες, αυτό το περιστατικό χρησιμεύει ως υπενθύμιση ότι οι λογαριασμοί κοινωνικών μέσων μπορούν να παραβιαστούν ακόμη και αν δεν κάνουν κλικ σε ύποπτους συνδέσμους ή δεν παρέχουν τους κωδικούς πρόσβασής τους σε άλλους. Εάν η ευπάθεια έγκειται στη διαδικασία υποστήριξης της πλατφόρμας, οι χάκερ θα μπορούσαν να βρουν μια λύση για να αποκτήσουν πρόσβαση στον λογαριασμό.
Οι χρήστες του Instagram θα πρέπει να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων, κατά προτίμηση χρησιμοποιώντας μια εφαρμογή ελέγχου ταυτότητας αντί να λαμβάνουν απλώς κωδικούς μέσω SMS. Αυτό είναι ένα κρίσιμο επίπεδο προστασίας σε περίπτωση που ο κωδικός πρόσβασής σας παραβιαστεί ή ο λογαριασμός σας παραβιαστεί κατά τη διαδικασία ανάκτησης. Επιπλέον, θα πρέπει να ελέγξετε το email και τον αριθμό τηλεφώνου που είναι συνδεδεμένοι με τον λογαριασμό σας για να βεβαιωθείτε ότι δεν έχουν προστεθεί άγνωστες πληροφορίες.
Οι χρήστες θα πρέπει επίσης να ελέγχουν τακτικά τις περιόδους σύνδεσης, τις συσκευές που έχουν πρόσβαση στον λογαριασμό και τα δικαιώματα εφαρμογών τρίτων. Εάν λάβουν ειδοποίηση μέσω email ότι ο κωδικός πρόσβασης του λογαριασμού τους έχει αλλάξει, έχει προστεθεί νέα διεύθυνση email ή έχουν συνδεθεί από άγνωστη συσκευή, θα πρέπει να το αντιμετωπίσουν αμέσως αντί να το αγνοήσουν.
Οι κίνδυνοι είναι ιδιαίτερα υψηλοί για λογαριασμούς με πολλούς ακόλουθους, λογαριασμούς πωλήσεων, δημιουργούς περιεχομένου ή εμπορικά σήματα. Ένας παραβιασμένος λογαριασμός Instagram μπορεί να χρησιμοποιηθεί για την εξαπάτηση πελατών, τη διάδοση κακόβουλου περιεχομένου ή τη βλάβη της φήμης.
Το περιστατικό της Meta αντικατοπτρίζει μια μεγαλύτερη πρόκληση στον κλάδο της τεχνολογίας: Η Τεχνητή Νοημοσύνη ενσωματώνεται σε όλο και περισσότερες λειτουργικές διαδικασίες, αλλά δεν μπορούν όλες οι διαδικασίες να ανατεθούν πλήρως σε μηχανές. Για λειτουργίες που σχετίζονται με την ασφάλεια λογαριασμών, η Τεχνητή Νοημοσύνη θα πρέπει να διαδραματίζει υποστηρικτικό ρόλο, ενώ η τελική απόφαση πρέπει να ελέγχεται από έναν ανεξάρτητο μηχανισμό επαλήθευσης.
Στον αγώνα για την ενσωμάτωση της Τεχνητής Νοημοσύνης σε κάθε προϊόν, η ταχύτητα δεν θα πρέπει να είναι η μόνη προτεραιότητα . Όσο περισσότερη δύναμη δίνεται σε ένα chatbot, τόσο μεγαλύτερες είναι οι συνέπειες της εξαπάτησης. Για τους χρήστες, η πιο πρακτική άμυνα παραμένει η ενίσχυση της ασφάλειας του λογαριασμού από νωρίς, πριν από οποιαδήποτε συμβάντα.
Πηγή: https://tuoitre.vn/hacker-danh-lua-ai-cua-meta-chiem-quyen-tai-khoan-instagram-20260605112903826.htm
