你可能已经听说,周末期间一些知名的Instagram账号遭到黑客攻击,其中最引人注目的是巴拉克·奥巴马的白宫账号。
但你可能不知道的是,黑客根本不需要费太大力气:Meta的AI客服聊天机器人实际上直接将账号交了出去。
据404 Media报道,黑客只需请求Meta的AI客服助手更改目标账号关联的邮箱地址。随后,黑客诱导机器人发起密码重置流程,而无需身份验证。AI将访问代码发送到黑客控制的邮箱,黑客再将代码复制到聊天窗口,AI便显示“重置密码”按钮,黑客利用该按钮修改密码,成功接管账号。
X平台上甚至有经过编辑的详细操作视频。黑客使用VPN伪装成目标所在地,AI迅速响应请求。整个过程中,黑客无需知道用户的邮箱地址或原始密码。
此次安全漏洞影响了包括化妆品零售商丝芙兰(Sephora)和美国太空军军士长约翰·本蒂维格纳(John Bentivegna)等账号。具体受影响账号数量尚不清楚,但许多用户在Reddit和X上报告了被黑事件,包括安全研究员Jane Wong。
Jane在X上表示:“密码在我不知情的情况下被更改,昨天不断收到不同的密码重置尝试,我的Instagram iOS应用也被反复登出,情况令人担忧。”
黑客是如何得手的?
问题几乎完全源于Meta将客户支持转由AI负责。该科技巨头在三月份宣布这一变革,称这将实现“全天候处理密码和个人资料设置等账户问题”。
但由于AI机器人全程处理,出现可疑活动时无人介入,黑客得以多次利用社交工程攻击手法,直到事件被发现。
据Cybersecurity News报道,安全研究员ZachXBT和Dark Web Informer率先公开揭露了该漏洞,但在此之前已有多个高知名度账号被盗。Dark Web Informer实时追踪了这些账号的出售情况,其中部分账号打包出售,开价高达100万美元。
Instagram发言人Andy Stone在X上表示,该漏洞现已修复。404 Media报道,Meta正积极“保护受影响账号”。
Meta尚未对媒体置评。
如何防范类似攻击?
此次社交工程漏洞有一个关键缺陷:它对启用多因素认证(MFA)的账号无效。启用MFA的账号会通过认证应用或短信接收验证码,黑客无法绕过验证。未启用MFA的账号则会将一次性重置码发送到可选择的邮箱地址,黑客因此轻松获得访问权限。
保护自己的最佳方法是启用多因素认证,Meta旗下所有平台均支持该功能。虽然不能保证100%安全,但远比单纯密码更有效,且能完全防止此次漏洞的利用。
此外,还可以通过使用密码密钥、设置私密邮箱地址等方式加强账号安全,降低凭证被窃取的风险。
