האקרים "רימו" את הבינה המלאכותית של מטה, והשתלטו על חשבונות אינסטגרם.

על פי חקירת Tuoi Tre Online , מספר אתרי טכנולוגיה בינלאומיים מצביעים על כך שהתוקף תמרן את הצ'אטבוט של Meta כדי להוסיף כתובות דוא"ל חדשות לחשבון היעד, ולאחר מכן השתמש בתהליך איפוס הסיסמה כדי להשיג שליטה.

התקרית מדגישה סיכון חדש בגל של עסקים המשלבים בינה מלאכותית בשירות לקוחות, במיוחד כאשר צ'אטבוטים מחוברים למשימות רגישות כמו אימות זהות, שינוי פרטי שחזור או סיוע בשחזור חשבון.

ראוי לציין, שסוג זה של התקפה אינו דורש בהכרח תוכנות זדוניות, קישורי פישינג או גישה לכתובת הדוא"ל המקורית של הקורבן. במקום זאת, האקרים מנצלים את מנגנון התמיכה האוטומטי של הפלטפורמה עצמה , וגורמים לצ'אטבוט לבצע פעולות שהיו צריכות להיות כפופות לאימות זהות קפדני.

על פי הדיווחים, בין החשבונות שנפגעו נמנים כמה חשבונות בולטים, כמו חשבון האינסטגרם הישן של הבית הלבן מתקופת הנשיא לשעבר ברק אובמה, חשבון של ספורה, וחשבון של בכיר בחיל החלל האמריקאי. חשבונות מסוימים, לאחר שנפרצו, תוכנם שונה או שימשו לפרסום הודעות לא רלוונטיות.

מטא הצהירה כי הבעיה נפתרה והחברה מגינה על החשבונות שנפגעו. עם זאת, התקרית עדיין מעלה את השאלה הגדולה האם יש להפקיד בידי בינה מלאכותית את הטיפול בצעדים רגישים בתהליך שחזור החשבון.

בעיקרו של דבר, זו אינה מתקפת סייבר מתוחכמת במובן המסורתי. האקרים אינם צריכים לפרוץ הצפנה או לחדור לשרתים. הם "מרמים" את הצ'אטבוט באמצעות בקשות שנועדו לגרום למערכת להאמין שהאדם שיוצר איתם קשר הוא בעל החשבון הלגיטימי.

מומחי אבטחה מכנים סוג זה של התקפה כמניפולציה מבוססת בינה מלאכותית, בדומה להזרקה מהירה (prompt injection). עם צ'אטבוטים אופייניים, התוצאה עשויה להיות פשוט תשובה שגויה. אבל כאשר צ'אטבוט מחובר למערכת עם הסמכות לשנות פרטי חשבון, לאפס דוא"ל או לסייע בשחזור סיסמה, תשובה שגויה אחת יכולה להפוך לאירוע אבטחה של ממש.

התקרית מדגישה גם את טשטוש הגבולות בין תמיכת לקוחות לאבטחת חשבון. בעבר, פעולות כמו שינוי כתובות דוא"ל לשחזור נתונים, איפוס סיסמאות או אימות בעלות על חשבון דרשו תהליכים רב-שכבתיים, שלעיתים כללו פיקוח אנושי. עם אוטומציה של בינה מלאכותית, מערכות זקוקות לאמצעי הגנה חזקים יותר, ולא רק להסתמך על "הבנה הקשרית" של צ'אטבוטים.

מה יכולים משתמשים לעשות כדי להגן על החשבונות שלהם?

עבור משתמשים ממוצעים, תקרית זו משמשת כתזכורת לכך שחשבונות מדיה חברתית עדיין עלולים להיפגע גם אם הם לא לוחצים על קישורים חשודים או לא מספקים את הסיסמאות שלהם לאחרים. אם הפגיעות טמונה בתהליך התמיכה של הפלטפורמה, האקרים יוכלו למצוא פתרון עוקף כדי לקבל גישה לחשבון.

משתמשי אינסטגרם צריכים להפעיל אימות דו-שלבי, רצוי באמצעות אפליקציית אימות ולא רק קבלת קודים באמצעות SMS. זוהי שכבת הגנה מכרעת אם הסיסמה שלכם נפגעה או שהחשבון שלכם נפגע במהלך תהליך השחזור. בנוסף, עליכם לבדוק את כתובת האימייל ומספר הטלפון המקושרים לחשבונכם כדי לוודא שלא נוסף מידע לא מוכר.

על המשתמשים לבדוק באופן קבוע גם את פעילויות ההתחברות, את המכשירים שניגשים לחשבון ואת ההרשאות של אפליקציות צד שלישי. אם הם מקבלים הודעת דוא"ל שסיסמת החשבון שלהם שונתה, שנוספה כתובת דוא"ל חדשה, או שהם התחברו ממכשיר לא מוכר, עליהם לטפל בכך מיד במקום להתעלם מכך.

הסיכונים גבוהים במיוחד עבור חשבונות עם עוקבים רבים, חשבונות מכירות, יוצרי תוכן או מותגים. חשבון אינסטגרם פרוץ יכול לשמש להונאת לקוחות, להפצת תוכן זדוני או לפגוע במוניטין.

התקרית של מטה משקפת אתגר גדול יותר בתעשיית הטכנולוגיה: בינה מלאכותית משולבת ביותר ויותר תהליכים תפעוליים, אך לא ניתן להעביר לחלוטין את כל התהליכים למכונות. עבור פעולות הקשורות לאבטחת חשבונות, בינה מלאכותית צריכה למלא תפקיד תומך, בעוד שההחלטה הסופית צריכה להיות מבוקרת על ידי מנגנון אימות עצמאי.

במרוץ לשילוב בינה מלאכותית בכל מוצר, מהירות לא צריכה להיות העדיפות היחידה . ככל שניתן לצ'אטבוט יותר כוח, כך גדלות ההשלכות של הטעיה. עבור משתמשים, ההגנה המעשית ביותר נותרת חיזוק אבטחת החשבון מוקדם, לפני שמתרחשים תקריות.