Instagram近日修复了一项安全漏洞,该漏洞使得部分用户账户遭到黑客入侵。此次攻击主要通过欺骗Meta旗下的AI客服机器人,诱使其授予攻击者对受害者账户的访问权限。
上周末,Reddit上有多名用户反映自己的Instagram账户被盗,X平台上也有不少用户警告类似的账户劫持事件。被攻击的账户中包括自2017年以来未活跃的“奥巴马时代白宫”官方Instagram账号,以及美国太空军首席军士长John Bentivegna的账户。
安全研究员Jane Wong也表示,她的Instagram账户被黑客控制。她称:“密码在我不知情的情况下被更改,昨天不断收到密码重置尝试,情况令人担忧。”
一段发布在X平台的视频展示了黑客入侵Instagram账户的详细步骤。黑客首先使用VPN伪装成目标用户的地理位置,以绕过Instagram的自动安全保护。随后,黑客与Meta AI客服助理开启对话,要求机器人向目标账户添加新的邮箱地址。机器人向该邮箱发送验证码,黑客将验证码反馈给机器人,机器人随即显示“重置密码”按钮。黑客输入新密码后,成功接管了受害者账户。
TechCrunch证实,视频中显示的黑客公开邮箱确实收到了验证码。
此次攻击的关键在于,黑客无需控制受害者原本绑定的邮箱地址即可完成账户劫持。
Instagram发言人Andy Stone于周一在回复Jane Wong及其他用户的帖子时表示,该安全问题已被修复。目前尚不清楚具体有多少用户账户受到影响。
Meta尚未就此事向TechCrunch做出回应。
