Meta a envoyé des alertes par e-mail aux utilisateurs d'Instagram.

Ces attaques étaient si simples que les qualifier de cyberattaques pourrait exagérer le rôle des auteurs et ne pas rendre compte de manière adéquate de l'incapacité de Meta à empêcher de telles méthodes rudimentaires de détournement de comptes utilisateurs.

Les pirates informatiques indiquent simplement au chatbot IA de Meta qu'ils sont propriétaires du compte ciblé, puis demandent au système de lier ce compte à une adresse e-mail qu'ils contrôlent. Le chatbot exécute la requête correctement, permettant ainsi à l'attaquant de réinitialiser le mot de passe et d'en prendre le contrôle, allant même jusqu'à bloquer l'accès de la victime. Aucun employé ni sous-traitant de Meta n'intervient dans ce processus de vérification.

Le 1er juin, Andy Stone, porte-parole de Meta, a confirmé : « L’incident s’est produit et a été résolu. » Cependant, le lendemain, d’autres utilisateurs d’Instagram ont signalé que leurs comptes avaient été piratés.

Parallèlement, TechCrunch a suivi des discussions sur un canal Telegram où la technique d'attaque était partagée. Des membres affirmaient pouvoir encore exploiter le chatbot de Meta et vendre ouvertement les comptes compromis au moment de la rédaction de cet article. Il est difficile de déterminer avec certitude si tous ces comptes ont été attaqués par la même méthode.

Dans un message ultérieur publié sur la plateforme X, Stone a déclaré : « Certaines personnes peuvent recevoir des notifications de réinitialisation de mot de passe et d'autres peuvent être invitées à répondre à des questions de sécurité lorsqu'elles tentent de se connecter à leurs comptes. »

Contacté par courriel par TechCrunch , Stone a confirmé que Meta avait sécurisé les comptes concernés le 1er juin et avait ensuite commencé à envoyer des courriels de réinitialisation de mot de passe. Il a toutefois refusé de divulguer le nombre d'utilisateurs touchés.

De nombreux utilisateurs ont signalé que Meta avait commencé à envoyer des notifications d'avertissement. Des victimes ont publiquement partagé des témoignages de courriels reçus d'Instagram indiquant que l'entreprise avait « détecté une activité suspecte laissant supposer que votre compte Instagram a pu être compromis ». La notification précisait également que l'entreprise avait mis en place des mesures de sécurité et demandait aux utilisateurs de réinitialiser leur mot de passe.

Comme l'avait précédemment indiqué 404 Media , Meta a annoncé en mars son intention d'utiliser l'IA pour automatiser son processus d'assistance aux utilisateurs. L'entreprise a affirmé que son chatbot « est conçu pour résoudre les problèmes de compte de A à Z » et serait capable de « réinitialiser votre mot de passe en toute sécurité ».

Cela démontre que les chatbots peuvent effectuer des tâches qui nécessitaient auparavant une intervention humaine, compte tenu de l'importance des systèmes de sécurité.

Au fil des ans, le marché de l'achat et de la vente de noms d'utilisateur OG a connu une croissance significative. Cependant, par le passé, le piratage de ces comptes nécessitait des stratégies plus sophistiquées, telles que l'usurpation d'identité des victimes, le détournement de numéros de téléphone ou la corruption d'employés au sein des fournisseurs de télécommunications.

Cette fois-ci, les pirates ont simplement formulé une requête, et le chatbot de Meta l'a exécutée.

(Selon TechCrunch)

Des pirates informatiques ont exploité l'assistant IA de Meta pour prendre le contrôle de comptes Instagram. Ils ont utilisé cet assistant pour détourner de nombreux comptes Instagram importants, obligeant le réseau social à publier un correctif d'urgence.

Source : https://vietnamnet.vn/meta-gui-email-canh-bao-den-nguoi-dung-instagram-2522533.html