黑客成功欺騙了Meta旗下由AI驅動的客服機器人,藉此接管了大量Instagram賬戶,其中不乏一些知名賬號,包括白宮官方賬戶、美國太空軍賬戶以及安全研究員Jane Wong的個人賬戶。
事情經過
此次攻擊堪稱令人難以置信——黑客以極為簡單甚至可以說是"幼稚"的方式,成功欺騙了Meta的AI客服聊天機器人,使其允許他們對他人的Instagram賬戶執行密碼重置操作。暗網資訊平台Dark Web Informer隨後發布了一段展示該漏洞利用過程的影片。
受影響賬戶情況
據TechCrunch報道,此次事件波及多個知名Instagram賬戶,其中包括歐巴馬執政時期白宮的官方賬號(該賬號自2017年起似乎已處於停用狀態),以及美國太空軍首席主軍士John Bentivegna的賬號。安全研究員Jane Wong也公開表示,其Instagram賬戶同樣遭到入侵。
Meta官方回應
據SecurityWeek報道,Meta已正式披露,此次共有約20,225個Instagram賬戶受到波及。其中少數可能屬於用戶的正常操作請求,但絕大多數均為惡意攻擊行為。
在此次攻擊中,攻擊者可能獲取的資訊包括:賬戶資料、電子郵件地址、手機號碼、出生日期、私信內容、社交媒體帖子,以及賬戶活動記錄和互動歷史等數據。
目前,Meta已關閉被濫用的相關工具,並表示將在確認漏洞修復完畢後方可重新啟用。所有通過該漏洞生成的密碼重置鏈接均已作廢,受影響賬戶已被強制納入安全檢查流程,賬戶密碼也已統一重置。此外,Meta已向所有受影響賬戶的所有者發出通知。
Q&A
Q1:黑客是如何利用Meta AI客服機器人入侵Instagram賬戶的?
A:黑客通過欺騙Meta旗下AI驅動的客服聊天機器人,使其誤認為是合法的用戶請求,從而對他人的Instagram賬戶執行密碼重置操作。整個攻擊方式非常簡單粗暴,並未使用複雜的技術手段。該漏洞被暗網平台Dark Web Informer以影片形式公開展示,引發廣泛關注。
Q2:此次Instagram賬戶泄露事件共影響了多少用戶?泄露了哪些資訊?
A:根據Meta官方披露,此次共約20,225個Instagram賬戶受到影響。攻擊者可能獲取的資訊涵蓋賬戶資料、電子郵件地址、手機號碼、出生日期、私信內容、社交媒體帖子,以及賬戶的活動記錄和互動歷史等敏感數據。
Q3:Meta針對Instagram賬戶被入侵事件採取了哪些補救措施?
A:Meta在事件發生後迅速採取了多項應對措施:一是關閉了被濫用的AI客服工具,待漏洞修復後才會重新啟用;二是使所有通過該漏洞生成的密碼重置鏈接失效;三是對受影響賬戶強制啟動安全檢查流程並重置密碼;四是主動通知所有受影響賬戶的所有者。
