Хакери використали чат-бота Meta для викрадення облікових записів Instagram.
Нещодавно Meta звернула увагу на інцидент безпеки, пов'язаний з її чат-ботом на базі штучного інтелекту, після того, як хакери скористалися інструментом для компрометації кількох облікових записів Instagram.
Коли чат-боти стають вразливістю безпеки
Згідно з розслідуванням Tuoi Tre Online , кілька міжнародних технологічних веб-сайтів припускають, що зловмисник маніпулював чат-ботом Meta, щоб додавати нові адреси електронної пошти до цільового облікового запису, а потім використовував процес скидання пароля для отримання контролю.
Цей інцидент висвітлює новий ризик у хвилі компаній, які інтегрують штучний інтелект у обслуговування клієнтів, особливо коли чат-боти підключені до конфіденційних завдань, таких як перевірка особи, зміна інформації для відновлення або допомога у відновленні облікового запису.
Примітно, що для цього типу атаки не обов'язково потрібне шкідливе програмне забезпечення, фішингові посилання чи доступ до оригінальної електронної адреси жертви. Натомість хакери використовують власний автоматизований механізм підтримки платформи , змушуючи чат-бота виконувати дії, які мали б підлягати ретельній перевірці особи.
Повідомляється, що серед постраждалих облікових записів є кілька відомих, такі як старий обліковий запис Білого дому в Instagram часів колишнього президента Барака Обами, обліковий запис Sephora та обліковий запис високопосадовця Космічних сил США. Після компрометації вміст деяких облікових записів було змінено або вони використовувалися для публікації нерелевантних повідомлень.
Мета заявила, що проблему вирішено , і компанія захищає постраждалі облікові записи. Однак інцидент все ще порушує велике питання про те, чи слід доручати штучному інтелекту обробку конфіденційних кроків у процесі відновлення облікового запису.
По суті, це не складна кібератака в традиційному розумінні. Хакерам не потрібно зламувати шифрування чи проникати на сервери. Вони «обманюють» чат-бота запитами, розробленими так, щоб система повірила, що особа, яка з ними зв’язується, є законним власником облікового запису.
Експерти з безпеки називають цей тип атаки формою маніпуляції штучним інтелектом, подібною до введення запиту. У типових чат-ботах наслідком може бути просто неправильна відповідь. Але коли чат-бот підключений до системи з повноваженнями змінювати інформацію облікового запису, скидати електронну пошту або допомагати з відновленням пароля, одна неправильна відповідь може перетворитися на справжній інцидент безпеки.
Цей інцидент також підкреслює розмиття меж між підтримкою клієнтів та безпекою облікових записів. Раніше такі дії, як зміна електронної пошти для відновлення, скидання паролів або підтвердження власності облікового запису, вимагали багаторівневих процесів, іноді передбачаючи нагляд людини. З автоматизацією штучного інтелекту системам потрібні сильніші засоби захисту, а не лише покладатися на «контекстуальне розуміння» чат-ботів.
Що можуть зробити користувачі для захисту своїх облікових записів?
Для пересічних користувачів цей інцидент слугує нагадуванням про те, що облікові записи соціальних мереж можуть бути скомпрометовані, навіть якщо вони не натискають на підозрілі посилання та не надають свої паролі іншим. Якщо вразливість криється в процесі підтримки платформи, хакери можуть знайти обхідний шлях для отримання доступу до облікового запису.
Користувачам Instagram слід увімкнути двофакторну автентифікацію, бажано за допомогою застосунку для автентифікації, а не просто отримувати коди через SMS. Це важливий рівень захисту, якщо ваш пароль буде скомпрометовано або ваш обліковий запис буде підроблено під час процесу відновлення. Крім того, вам слід перевірити електронну пошту та номер телефону, пов’язані з вашим обліковим записом, щоб переконатися, що не було додано незнайому інформацію.
Користувачам також слід регулярно перевіряти сесії входу, пристрої, з яких здійснюється доступ до облікового запису, та дозволи сторонніх програм. Якщо вони отримують сповіщення електронною поштою про зміну пароля облікового запису, додавання нової адреси електронної пошти або вхід із незнайомого пристрою, їм слід негайно звернути на це увагу, а не ігнорувати його.
Ризики особливо високі для облікових записів з великою кількістю підписників, облікових записів продажів, творців контенту або брендів. Зламаний обліковий запис Instagram може бути використаний для шахрайства з клієнтами, поширення шкідливого контенту або пошкодження репутації.
Інцидент з Meta відображає масштабнішу проблему в технологічній галузі: штучний інтелект інтегрується у все більше операційних процесів, але не всі процеси можна повністю делегувати машинам. Для операцій, пов'язаних із безпекою облікових записів, штучний інтелект повинен відігравати допоміжну роль, тоді як остаточне рішення має контролюватися незалежним механізмом перевірки.
У гонці за інтеграцію штучного інтелекту в кожен продукт швидкість не повинна бути єдиним пріоритетом . Чим більше потужності надається чат-боту, тим більші наслідки його обману. Для користувачів найпрактичнішим захистом залишається посилення безпеки облікового запису на ранній стадії, до того, як виникнуть будь-які інциденти.
Джерело: https://tuoitre.vn/hacker-danh-lua-ai-cua-meta-chiem-quyen-tai-khoan-instagram-20260605112903826.htm
