Meta je potvrdila da je otklonila bezbjednosni propust u AI sistemu za korisničku podršku koji je bio zloupotrijebljen za preuzimanje pojedinih Instagram naloga.
Tokom vikenda više profila kompromitovano je za svega nekoliko minuta, a ukradena korisnička imena ponuđena su na prodaju na Telegramu gotovo odmah nakon preuzimanja naloga.
Napad nije zahtijevao malver, fišing linkove niti pristup imejl adresi žrtve.
Prema izvještajima istraživača bezbjednosti, napadači su koristili Meta AI podršku kako bi pokrenuli proces promjene imejl adrese i resetovanja lozinke bez pristupa nalogu žrtve.
Navodno je bilo dovoljno da napadač tokom razgovora sa AI asistentom navede korisničko ime ciljanog naloga i zatraži povezivanje nove imejl adrese sa tim nalogom, nakon čega bi verifikacioni kod bio poslat na imejl adresu napadača. Napadač bi proslijedio kod nazad botu, koji je zatim prikazao dugme „Resetuj lozinku“. Istraživači tvrde da je AI sistem u pojedinim slučajevima izvršavao zahtjeve bez dodatne provjere identiteta korisnika, što je napadačima omogućavalo da preuzmu kontrolu nad nalogom i promijene pristupne podatke.
Ni u jednom trenutku legitimni vlasnik naloga nije primio SMS upozorenje, push obavještenje ili upozoravajući imejl.
Među metama su se, prema dostupnim informacijama, našli verifikovani profili, popularni Instagram nalozi sa kratkim korisničkim imenima velike tržišne vrijednosti i pojedini institucionalni nalozi.
Stručnjaci su propust opisali kao primjer takozvane „confused deputy“ ranjivosti, situacije u kojoj sistem sa višim privilegijama izvršava radnje u ime korisnika bez adekvatne provjere ovlašćenja.
Meta je saopštila da je problem otklonjen i da su AI funkcije povezane sa promjenom imejl adresa i resetovanjem lozinki dodatno ograničene.
Kompanija je navela da nije došlo do kompromitovanja njenih internih sistema, ali istraživači upozoravaju da ovakvi incidenti pokazuju rizike povezane sa AI agentima koji imaju direktan pristup osjetljivim funkcijama za upravljanje korisničkim nalozima.
Korisnicima se preporučuje korišćenje aplikacija za autentifikaciju umjesto SMS verifikacije, redovna provjera aktivnih sesija i ažuriranje rezervnih kodova za oporavak naloga.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.