Instagram объявил в понедельник, 2 июня, что исправил критическую уязвимость безопасности: бот службы поддержки восстановления учетных записей на базе ИИ Meta имел фундаментальный логический дефект. Злоумышленнику достаточно было знать имя пользователя целевой учетной записи, чтобы заставить бота добавить новый адрес электронной почты к этой учетной записи и запустить сброс пароля — все это без какой-либо проверки через оригинальную электронную почту или пароль жертвы. В минувшие выходные несколько пользователей Reddit и X сообщили о взломе своих аккаунтов, среди пострадавших — исследователь безопасности Джейн Хуан. Среди взломанных аккаунтов были и цели с высокой известностью: официальный аккаунт Instagram Белого дома времен администрации Обамы (отключен после 2017 года) и личный аккаунт главного старшего сержанта Космических сил США Джона Бентивенья.
Опубликованное демонстрационное видео атаки показывает, что злоумышленник использует VPN для подмены географического положения на соответствующее положению цели, а затем взаимодействует с ИИ-ботом поддержки Meta, запрашивая привязку нового адреса электронной почты к целевому аккаунту. Бот отправляет код подтверждения на адрес электронной почты, указанный злоумышленником; после того как злоумышленник вводит этот код, он получает доступ к странице сброса пароля. TechCrunch подтвердил, что адрес электронной почты, показанный в видео, действительно получил код подтверждения от платформы Instagram. Эта уязвимость не была связана ни с каким взломом серверов или утечкой баз данных; ее первопричина — в том, что инженеры Meta предоставили ИИ-боту службы поддержки чрезмерно высокие операционные привилегии и не установили ограничений на скорость выполнения операций с учетными записями, что позволило группам черного и серого рынков выполнять массовые операции с помощью автоматизированных скриптов. Учетные записи, использующие двухфакторную аутентификацию типа TOTP (например, Google Authenticator), не были затронуты этой уязвимостью. Представитель Instagram Энди Стоун подтвердил, что уязвимость была устранена в понедельник, но данных о масштабах пострадавших учетных записей пока не раскрыто.
蓝点网 | IT之家 | TechCrunch