Meta는 인스타그램 사용자들에게 이메일 알림을 보냈습니다.

이러한 공격은 너무나 단순해서 사이버 공격이라고 부르는 것은 공격자들의 역할을 과장하는 것이며, 사용자 계정을 탈취하는 이러한 기본적인 방법을 막지 못한 Meta의 실패를 제대로 지적하지 못하는 것일 수 있습니다.

해커는 메타의 AI 챗봇에 대상 계정의 소유자임을 알린 후, 해당 계정을 자신이 관리하는 이메일 주소에 연결해 달라고 요청하기만 하면 됩니다. 챗봇은 요청을 정확하게 실행하여 공격자가 비밀번호를 재설정하고 계정 제어권을 확보할 수 있도록 하며, 심지어 피해자의 접근을 차단할 수도 있습니다. 이 인증 과정에는 메타의 직원이나 계약업체 직원이 전혀 관여하지 않습니다.

6월 1일, 메타 대변인 앤디 스톤은 "해당 사건은 발생했으나 현재는 해결되었습니다."라고 확인했습니다. 그러나 다음 날, 더 많은 인스타그램 사용자들이 자신의 계정이 해킹당했다고 신고했습니다.

한편, 테크크런치는 해당 공격 기법이 공유된 텔레그램 채널의 논의를 추적했습니다. 해당 채널 회원들은 이 기사가 작성될 시점까지도 메타의 챗봇을 여전히 악용할 수 있으며, 해킹된 계정을 공개적으로 판매하고 있다고 주장했습니다. 이러한 계정들이 모두 동일한 공격 방식을 사용했는지 여부를 확실하게 판단하기는 어렵습니다.

스톤은 플랫폼 X에 올린 후속 게시물에서 "일부 사용자는 비밀번호 재설정 알림을 받을 수 있으며, 계정에 로그인하려고 할 때 보안 질문에 답하라는 요청을 받을 수도 있습니다." 라고 밝혔습니다.

스톤은 테크크런치 와의 이메일 인터뷰에서 메타가 6월 1일에 해당 계정들을 보호 조치했으며, 이후 비밀번호 재설정 이메일을 발송하기 시작했다고 확인했습니다. 하지만 그는 영향을 받은 사용자 수는 공개하지 않았습니다.

많은 사용자들이 Meta에서 경고 알림을 보내기 시작했다고 보고했습니다. 피해자들은 Instagram으로부터 "귀하의 Instagram 계정이 해킹당했을 가능성을 시사하는 의심스러운 활동이 감지되었습니다."라는 내용의 이메일을 받았다고 공개적으로 밝혔습니다. 해당 알림에는 Instagram이 계정 보안 조치를 시행했으며 사용자들에게 비밀번호를 재설정해 달라는 내용도 포함되어 있었습니다.

404 Media가 이전에 보도한 바와 같이, Meta는 지난 3월 AI를 활용하여 사용자 지원 프로세스를 자동화할 것이라고 발표했습니다. 회사 측은 자사의 챗봇이 "계정 문제를 처음부터 끝까지 해결하도록 설계되었으며" "안전하게 비밀번호를 재설정할 수 있다"고 주장했습니다.

이는 보안 시스템의 중요성을 고려할 때, 챗봇이 이전에는 인간의 개입이 필요했던 작업을 수행할 수 있음을 보여줍니다.

지난 몇 년 동안 OG(오리지널 게이머) 계정의 매매 시장은 크게 성장했습니다. 하지만 과거에는 이러한 계정을 탈취하기 위해 피해자 사칭, 전화번호 탈취, 통신사 내부자 매수 등 더욱 정교한 전략이 필요했습니다.

이번에는 해커들이 단순히 요청만 했고, 메타의 챗봇은 그 요청을 따랐습니다.

(테크크런치에 따르면)

해커들이 메타 AI 비서를 악용해 인스타그램 계정을 탈취했습니다 . 해커들은 메타의 AI 비서를 이용해 다수의 유명 인스타그램 계정을 해킹했고, 이로 인해 인스타그램은 긴급 패치를 배포해야 했습니다.

출처: https://vietnamnet.vn/meta-gui-email-canh-bao-den-nguoi-dung-instagram-2522533.html