Хакери измамиха AI чатбота на Instagram и превзеха чужди профили
Instagram публично удостовери отстраняването на сериозен проблем в своята система за сигурност. Хакери сполучливо са манипулирали изкуствения разсъдък за поддръжка на платформата. Чрез тази машинация те са получили цялостен достъп до профили на други консуматори. Инцидентът повдига съществени въпроси по отношение на сигурността на автоматизираните системи в обществените мрежи.
Според данни от TechCrunch и 404 Media, хакерите са употребявали VPN услуги, с цел да имитират местоположението на същинските притежатели. По този метод те са заобикаляли автоматизираните отбрани на Instagram. След като се показват за притежатели на акаунта, нападателите са изпращали известия до AI асистента на Meta. Те са претендирали смяна на имейл адреса, обвързван с профила.
AI асистентът е променял контактната информация и е изпращал кодове за възобновяване непосредствено на хакерите. Видеоклипове в обществените мрежи демонстрират целия развой на офанзивата. В тях се вижда по какъв начин кодът за верификация идва в пощенската кутия на нападателя. Жертвата даже не схваща, че нейният акаунт е обект на офанзива. Тази накърнимост е разрешила на злонамерени лица да поемат надзор над непознати профили единствено за няколко минути.
Говорителят на Meta Анди Стоун разяснява обстановката в платформата X.
„ Проблемът беше отхвърлен и подхващаме ограничения за отбрана на засегнатите сметки “
съобщи той. Въпреки това Стоун отхвърли изказванията, че водачи на страни са станали жертва на този съответен пробив. В същото време 404 Media оповестява, че уязвимостта е засегнала верифицирани профили, в това число акаунт, употребен от Барак Обама. От него е било оповестено наличие в поддръжка на Иран.
Проблемът наподобява е съществувал от месеци. През март Meta разшири функционалността на своя AI инструмент за сигурност и възобновяване. Функционалността за AI поддръжка е била налична за всички консуматори, което е нараснало мащаба на евентуалните офанзиви. Джейн Манчун Уонг, някогашен инженер по сигурността в Meta, също заяви за случай със своя профил. Тя показа, че паролата ѝ е била заменена без нейно познание.
„ Доста притеснително “
добави Уонг.
Марийус Бриедис от NordVPN предизвестява за рисковете при прекалено доверие в автоматизацията. Според него AI чатботовете постоянно разполагат с прекалено много пълномощия при липса на човешка инспекция. Това трансформира инструментите за поддръжка в сериозна опасност. Потребителите се оплакват, че не могат да намерят действителен чиновник, с който да беседват при проблем. Един от потърпевшите написа в X:
„ Стигнахме до такава степен, че един AI го открадна, а различен AI не може да го върне. Няма нито един човек в процеса “
Ситуацията се усложнява от обстоятелството, че „ Мета “ обмисля съкращения на 20% от личния състав на фона на възходящите разноски за AI. Компанията влага милиарди в нови технологии, само че в същото време понижава екипите си. Това води до липса на съответна поддръжка за крайните консуматори. Независими органи в Европейски Съюз към този момент сигнализираха, че компанията рядко реагира на сигнали за блокирани сметки. Повече по тематиката може да прочетете тук: Компанията „ Мета “ не изяснява за какво блокира профили, твърди правозащитна организация.
Meta е рекламирала своя AI като инструмент за по-висока сигурност, само че практиката демонстрира друго. Експертите по киберсигурност акцентират, че възобновяване на акаунт в никакъв случай не би трябвало да се основава единствено на автоматизация. Липсата на човешки надзор в сериозни моменти прави платформите уязвими за обществено инженерство, ориентирано към изкуствения разсъдък.
