一周前,Meta的AI驱动聊天助手无意中让黑客获得了数千个Instagram账户的访问权限,其中包括知名美妆零售商Sephora、美国太空军高级军士以及前美国总统奥巴马的白宫账户。
根据缅因州总检察长办公室的一份监管文件,受影响的账户总数达到了20,225个,其中30个账户属于缅因州居民。
此次攻击被404 Media报道,主要针对未启用两步验证的账户。黑客只需向AI聊天机器人请求将目标账户的邮箱地址更改为自己的邮箱,随后请求密码重置,AI便会向黑客的邮箱发送验证码。验证通过后,黑客即可完全控制账户。
一段经过编辑的操作视频甚至在X平台上流传,展示了黑客如何使用VPN伪装成目标用户所在地。整个过程中,黑客无需知道用户的邮箱地址或原始密码。
Meta在6月5日致缅因州总检察长Aaron Frey的事件通知信中承认,Instagram的AI辅助账户恢复系统存在漏洞,被未经授权的第三方利用进行密码重置。
漏洞曝光后,许多Instagram用户在Reddit和X上报告账户被黑,但当时尚未明确受影响账户的具体数量。Meta发言人随后在X上表示,该漏洞已于6月1日修复。
AI为何导致此次攻击发生?
问题主要源于Meta的客户支持系统现由AI负责。该公司今年3月宣布全面启用AI客服,旨在提供全天候账户问题支持,如密码和个人资料设置更新。
然而,AI机器人全程处理流程,导致在出现异常活动时无人介入,黑客得以多次利用社交工程手法实施攻击而未被及时发现。
受影响账户的用户均被强制登出,邮箱地址恢复原状,用户被要求重置密码并重新认证登录。Meta表示,账户安全恢复后,将再次通知用户开启两步验证以防止未来攻击。
Meta尚未就此事作出进一步回应。
如何防范类似攻击?
此次社交工程攻击的最大限制是无法突破启用多因素认证(MFA)的账户。启用MFA的账户会通过认证应用或短信接收验证码,黑客无法通过更改邮箱地址获得重置码。
因此,保护账户的最佳方式是开启多因素认证。虽然MFA不能保证百分百安全,但相比单纯密码保护,它能显著提升账户安全,且能完全阻止此次漏洞利用。
此外,用户还可以采取其他措施加强账户安全,如使用密码密钥(passkeys)、设置专用邮箱地址等,降低账户凭证被窃取的风险。
