週末にかけて、バラク・オバマ前大統領政権時代のホワイトハウスや米宇宙軍参謀総長のアカウントなど、複数の主要なインスタグラムアカウントがハッキングされ、イランを支持する画像やメッセージでインターフェースが改ざんされた。
この事件は、MetaのAIアシスタントツールを騙してアカウントのパスワードをリセットする方法がTelegram上で出回り始めた後に発生した。
5月31日にTelegramで共有された情報によると、MetaのAIチャットボットは、標準的なパスワードリセットプロセスの一環として、既存のアカウントに新しいメールアドレスを自動的に追加した。
ハッキンググループが投稿した動画には、脆弱性を悪用する比較的簡単な方法が示されている。
攻撃者は、標的のよく知っている場所と一致するか、それに近いIPアドレスを持つ仮想プライベートネットワーク(VPN)接続を使用し、パスワードのリセットを要求し、AIアシスタントとチャットするオプションを選択します。
ここで、ハッカーはチャットボットにアカウントを新しいメールアドレスにリンクするように指示した。その後、システムはハッカーがパスワードを変更するためのワンタイム認証コードを送信した。
このようにして、ハッカー集団は短く価値の高いユーザー名を持つ多数のアカウントを掌握し、それらのアカウントは闇市場で50万ドル以上の価値があると推定されている。
サイバーセキュリティ専門家のジェーン・ウォン氏も、自身のインスタグラムアカウントが不正アクセスされた。彼女によると、パスワードが知らぬ間に変更されており、1日のうちに複数回パスワードのリセットが試みられていたことが判明したという。
Metaの担当者であるアンディ・ストーン氏は、Xプラットフォーム上で、問題は解決済みであり、影響を受けたアカウントは保護されていると発表した。
サイバーセキュリティ関係筋によると、Metaは週末に緊急パッチをリリースし、システムデータベースが侵害された事実はないことを確認したという。
Meta社は、過負荷状態になりがちだった人的サポートシステムを置き換えるため、今年初めからこの対話型AIレイヤーを世界的に展開してきた。
このツールは、フィッシング詐欺の報告、なりすまし、パスワードのリセットなどのリクエストを自動的に処理するように設計されており、ユーザーの不便を軽減します。
しかし、セキュリティ専門家は、AIチャットボットに機密性の高いアカウント復旧リクエストを処理させることは、危険な新たな攻撃対象領域を生み出すと警告している。
人間のサポートスタッフと同様に、AIチャットボットも心理操作の手法による操作や欺瞞に非常に脆弱である。
アカウントを保護するため、ユーザーは多要素認証(MFA)を有効にすることをお勧めします。
このハッキンググループは、高度な認証やワンタイムSMS認証コードを有効にしているアカウントに対しては、この脆弱性は全く効果がなかったことを認めた。
(404メディア、ガーディアン紙による)
出典:https://vietnamnet.vn/hacker-loi-dung-chatbot-ai-chiem-quyen-tai-khoan-instagram-2521772.html
コメント (0)