你可能已經聽說了上周末發生的多起知名Instagram賬戶被黑事件,其中影響最大的包括貝拉克·歐巴馬的白宮賬號。
但你可能還不知道的是,黑客們其實並沒有費多大力氣——Meta的AI客服聊天機器人幾乎是主動將這些賬戶拱手相讓的。
根據404 Media的報道,黑客只需向Meta的AI客服助手發起請求,要求更改目標賬戶綁定的電子郵件地址。隨後,黑客誘導該機器人在未進行任何身份驗證的情況下啟動密碼重置流程。AI隨即將訪問驗證碼發送至黑客自己填寫的郵箱地址,黑客將驗證碼複製到對話框中,AI便彈出"重置密碼"按鈕,黑客隨即修改密碼並完成對賬戶的完全控制。
X平台上甚至流傳著一段經過剪輯的攻擊操作全流程影片。黑客使用VPN將網路位置偽裝成目標用戶所在地,AI便迅速響應了請求。整個過程中,黑客始終不需要知道用戶的真實郵箱或原始密碼。
此次安全漏洞波及多個知名賬戶,包括美妝零售商絲芙蘭(Sephora)以及美國太空部隊軍士長約翰·本蒂韋尼亞(John Bentivegna)。目前尚不清楚受影響賬戶的具體數量,但上周末有大量用戶在Reddit和X平台上反映賬戶遭到入侵,其中包括安全研究員簡·王(Jane Wong)。
簡·王在X平台上表示:"我的密碼在我毫不知情的情況下被修改了,昨天我還收到了多次密碼重置嘗試的通知,並被反覆踢出Instagram的iOS客戶端,這非常令人擔憂。"
漏洞是如何產生的
問題的根源幾乎完全在於Meta已將客服工作全面交由AI處理。這家科技巨頭早在今年3月便完成了這一轉變,聲稱此舉將實現"全天候解答賬戶問題,包括密碼修改和個人資料設置更新"。
然而,由於整個客服流程均由AI聊天機器人獨立完成,當可疑操作出現時,人工客服根本無法及時介入。這使得黑客得以反覆實施類似社會工程學攻擊,直到事發後才引起各方注意。
據Cybersecurity News報道,安全研究員ZachXBT和Dark Web Informer率先公開披露了這一漏洞,但此時多個高知名度賬戶已遭盜取。Dark Web Informer還實時追蹤到這些賬戶的出售情況,部分賬戶被打包出售,開價高達100萬美元。
Instagram發言人安迪·斯通(Andy Stone)在X平台發文表示,該漏洞已完成修復。404 Media則報道稱,Meta目前正在"對受影響賬戶進行安全處理"。
截至發稿,Meta尚未回應相關置評請求。
如何保護自己免受類似攻擊
此次社會工程學漏洞存在一個明顯的局限:它對已開啟多重身份驗證(MFA)的賬戶完全無效。這類賬戶的驗證碼要麼已儲存在用戶選擇的身份驗證器應用中,要麼通過簡訊接收。而未啟用MFA的賬戶,一次性重置驗證碼則會被發送至任意填寫的郵箱地址,黑客因此可以輕鬆截獲。
最有效的防護措施是開啟多重身份驗證,Meta旗下所有平台均支持此功能。雖然不能做到百分之百防護,但相比單純依賴密碼要安全得多,而且本次攻擊完全可以憑藉MFA加以阻止。
此外,你還可以採取其他措施提升賬戶安全性,包括在支持的平台上使用通行密鑰(Passkey),以及綁定一個非公開的私人郵箱,讓賬戶憑據更難被外部獲取。
Q&A
Q1:Meta AI客服機器人是如何被黑客利用來入侵Instagram賬戶的?
A:黑客向Meta的AI客服機器人請求更改目標賬戶綁定的郵箱地址,隨後誘導AI在未進行身份驗證的情況下發起密碼重置,並將驗證碼發送至黑客自己填寫的郵箱。黑客將驗證碼輸入對話框後,AI便顯示"重置密碼"按鈕,整個攻擊過程無需知道用戶的真實郵箱或原始密碼。
Q2:哪些Instagram賬戶受到了這次安全漏洞的影響?
A:此次漏洞波及多個知名賬戶,包括貝拉克·歐巴馬的白宮賬號、美妝零售商絲芙蘭(Sephora)以及美國太空部隊軍士長約翰·本蒂韋尼亞。此外,安全研究員簡·王等大量普通用戶也在Reddit和X平台上反映賬戶遭到入侵。目前受影響賬戶的具體總數尚不清楚。
Q3:普通用戶如何防範這類針對Instagram賬戶的社會工程學攻擊?
A:最有效的方法是立即開啟多重身份驗證(MFA),Meta旗下所有平台均支持此功能。本次攻擊對已開啟MFA的賬戶完全無效。此外,還建議使用通行密鑰(Passkey)以及綁定非公開的私人郵箱,從而降低賬戶憑據被獲取的風險。
