Meta 近日證實,旗下 Instagram 約有 20,225 個帳號在這起資安事件中遭到入侵,駭客利用公司 AI 支援助手在帳號復原流程中的驗證漏洞,繞過復原程序,進而重設密碼並取得控制權。根據 Meta 向美國緬因州檢察長辦公室提交的通報,事件最早可追溯至今年 4 月 17 日,並於今年 5 月 31 日被發現。
Meta 表示,這起攻擊並非透過直接破解系統或竊取資料庫,而是利用 AI 助手在帳號救援流程中的邏輯錯誤。駭客先透過 VPN 讓來源看起來位於與目標帳號相同的國家,接著發起密碼重設請求並要求與 Meta 的 AI 支援助手對話,誘導系統將重設連結寄到攻擊者控制的電子郵件位址。由於相關程式未正確核對申請者提供的電子郵件是否與原帳號繫結,系統反而將重設連結寄給未關聯的信箱,讓駭客得以完成密碼重設並登入帳號。
Meta 在通報中指出,目前尚不清楚這些帳號是否實際發生個資外洩,但受影響的資料可能包括聯絡資訊、出生日期、個人檔案資料、私訊、帳號歷史,以及與其他連結服務相關的資訊。公司也說明,這次事件主要影響未啟用雙重驗證(2FA)的帳號;啟用 2FA 的帳號則可防止此類手法成功。
在發現問題後,Meta 已停用該 AI 支援工具、移除有漏洞的程式路徑,並使所有可能受影響的帳號進入強制安全檢查機制,同時使先前產生的密碼重設連結失效。公司表示,已開始全面檢視旗下平台其他類似的帳號復原流程,以找出並修補潛在漏洞,並會依規定通知可能受影響的使用者。
- Meta Says Thousands of Instagram Accounts Were Breached Through Its AI Support Assistant
- Hackers likely hijacked over 20,000 Instagram accounts with Meta’s AI chatbot
- Over 20,000 Instagram accounts stolen in Meta AI support hack
- Hackers hijacked 20,000 Instagram accounts by tricking Meta’s AI chatbot
- Meta’s AI Chatbot Just Became a Password-Reset Backdoor for 20,000+ Instagram Accounts
- Meta AI Handed Hackers 20,225 Instagram Accounts
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
