Hackerii au „păcălit” inteligența artificială a companiei Meta, preluând controlul asupra conturilor de Instagram.

Conform investigației Tuoi Tre Online , mai multe site-uri web internaționale de tehnologie sugerează că atacatorul a manipulat chatbot-ul Meta pentru a adăuga noi adrese de e-mail în contul țintă, apoi a folosit procesul de resetare a parolei pentru a obține controlul.

Incidentul evidențiază un nou risc în valul de companii care integrează inteligența artificială în serviciul clienți, în special atunci când chatboții sunt conectați la sarcini sensibile, cum ar fi verificarea identității, modificarea informațiilor de recuperare sau asistența în recuperarea contului.

În mod special, acest tip de atac nu necesită neapărat programe malware, linkuri de phishing sau acces la adresa de e-mail originală a victimei. În schimb, hackerii exploatează propriul mecanism automat de asistență al platformei , determinând chatbot-ul să efectueze acțiuni care ar fi trebuit să fie supuse unei verificări riguroase a identității.

Se pare că printre conturile afectate se numără câteva conturi importante, cum ar fi vechiul cont de Instagram al Casei Albe din vremea fostului președinte Barack Obama, contul Sephora și contul unui oficial superior din Forțele Spațiale ale SUA. După ce au fost compromise, conținutul unor conturi a fost modificat sau a fost folosit pentru a posta mesaje irelevante.

Meta a declarat că problema a fost rezolvată și că firma protejează conturile afectate. Cu toate acestea, incidentul ridică în continuare marea întrebare dacă inteligența artificială ar trebui să fie însărcinată cu gestionarea etapelor sensibile din procesul de recuperare a conturilor.

În esență, acesta nu este un atac cibernetic sofisticat în sensul tradițional. Hackerii nu trebuie să spargă criptarea sau să se infiltreze pe servere. Ei „păcălesc” chatbot-ul cu solicitări menite să facă sistemul să creadă că persoana care îi contactează este titularul legitim al contului.

Experții în securitate numesc acest tip de atac o formă de manipulare a inteligenței artificiale, similară cu injecția promptă. În cazul chatbot-urilor tipice, consecința ar putea fi doar un răspuns greșit. Dar când un chatbot este conectat la un sistem cu autoritatea de a modifica informațiile contului, de a reseta e-mailul sau de a ajuta la recuperarea parolei, un singur răspuns greșit se poate transforma într-un incident de securitate real.

Incidentul evidențiază, de asemenea, estomparea granițelor dintre asistența pentru clienți și securitatea contului. Anterior, acțiuni precum schimbarea adreselor de e-mail de recuperare, resetarea parolelor sau verificarea proprietății contului necesitau procese multistratificate, uneori implicând supraveghere umană. Cu automatizarea prin inteligență artificială, sistemele au nevoie de garanții mai puternice, nu doar să se bazeze pe „înțelegerea contextuală” a chatboților.

Ce pot face utilizatorii pentru a-și proteja conturile?

Pentru utilizatorii obișnuiți, acest incident servește drept o reamintire a faptului că, deși nu dau clic pe linkuri suspecte sau nu își oferă parolele altora, conturile de socializare pot fi compromise . Dacă vulnerabilitatea se află în procesul de asistență al platformei, hackerii ar putea găsi o soluție pentru a obține acces la cont.

Utilizatorii de Instagram ar trebui să activeze autentificarea cu doi factori, de preferință folosind o aplicație de autentificare, în loc să primească doar coduri prin SMS. Acesta este un nivel crucial de protecție dacă parola este compromisă sau contul este modificat în timpul procesului de recuperare. În plus, ar trebui să verificați adresa de e-mail și numărul de telefon asociate contului dvs. pentru a vă asigura că nu au fost adăugate informații nefamiliare.

Utilizatorii ar trebui, de asemenea, să verifice periodic sesiunile de conectare, dispozitivele care accesează contul și permisiunile aplicațiilor terțe. Dacă primesc o notificare prin e-mail că parola contului lor a fost modificată, că a fost adăugată o nouă adresă de e-mail sau că s-au conectat de pe un dispozitiv necunoscut, ar trebui să rezolve imediat problema, în loc să o ignore.

Riscurile sunt deosebit de mari pentru conturile cu mulți urmăritori, conturi de vânzări, creatori de conținut sau branduri. Un cont de Instagram compromis poate fi folosit pentru a înșela clienții, a răspândi conținut rău intenționat sau a deteriora reputația.

Incidentul Meta reflectă o provocare mai mare în industria tehnologică: inteligența artificială este integrată în tot mai multe procese operaționale, dar nu toate procesele pot fi delegate complet mașinilor. Pentru operațiunile legate de securitatea conturilor, inteligența artificială ar trebui să joace un rol de sprijin, în timp ce decizia finală trebuie controlată de un mecanism de verificare independent.

În cursa pentru integrarea inteligenței artificiale în fiecare produs, viteza nu ar trebui să fie singura prioritate . Cu cât un chatbot primește mai multă putere, cu atât sunt mai mari consecințele păcălirii. Pentru utilizatori, cea mai practică apărare rămâne consolidarea securității contului din timp, înainte de apariția oricăror incidente.