מחליפים עובדים ב-AI: האקרים הצליחו לגנוב חשבונות אינסטגרם בעזרת הבוט של מטא

אינסטגרם פתרה בעיית אבטחה שאפשרה פריצה לחשבונות של מספר משתמשים מוכרים ברשת החברתית שלה. נראה כי המתקפה התבססה דווקא על הטעיית צ'אטבוט התמיכה מבוסס ה-AI של מטא עצמה, כדי שיעניק גישה לחשבון של הקורבן.

במהלך סוף השבוע, מספר משתמשים ברדיט טענו כי חשבונות האינסטגרם שלהם נפרצו, ומספר משתמשים ב-X (טוויטר לשעבר) הזהירו מפני חטיפות חשבונות דומות. החשבונות שנפרצו כוללים את חשבון האינסטגרם של הבית הלבן מתקופת אובמה, שנראה כי לא היה פעיל מאז 2017, את חשבונו קצין בכיר ועוד. לא ברור מי עמד מאחורי הפריצה לחשבונו של אובמה, אך תמונות של קאסם סולימאני הופיעו באותו פיד יחד עם כתובות בערבית.

אחת מהנפגעות היא חוקרת האבטחה ג'יין וונג שגם חשבון האינסטגרם שלה נפרץ. "הסיסמה שונתה ללא ידיעתי וקיבלתי ניסיונות שונים לאיפוס סיסמה לאורך כל היום אתמול, זה מדאיג מאוד". אבל היא ממש לא לבד, ברשתות ניתן למצוא יוזרים נוספים שמתלוננים על כך.

סרטון שפורסם ב-X הציג את התהליך שלב אחר שלב לפריצת חשבון אינסטגרם של מישהו. ההאקר השתמש לכאורה ב-VPN כדי לזייף את המיקום המשוער של היעדים, ובכך להימנע מהפעלת הגנות החשבון האוטומטיות של אינסטגרם. לאחר מכן, ההאקר פתח בצ'אט עם עוזר התמיכה של Meta AI וביקש מהבוט להוסיף כתובת אימייל חדשה לחשבון היעד. ניתן לראות את הצ'אטבוט שולח קוד אימות לכתובת האימייל שסיפק ההאקר. לאחר מכן ההאקר משתף את קוד האימות עם הצ'אטבוט, מה שמניע את הצ'אטבוט להציג כפתור ל"איפוס סיסמה". ההאקר מזין סיסמה חדשה ולבסוף משתלט על חשבון הקורבן.

אתר TechCrunch הצליח לאמת שתיבת האימייל הציבורית של ההאקר, שהוצגה בסרטון, אכן קיבלה את קוד האימות. המתקפה התבססה על העובדה שבאף שלב ההאקר לא היה צריך להשתלט על כתובת האימייל הלגיטימית המקושרת לחשבון האינסטגרם של הקורבנות.

נזכיר כי בחודש שעבר מטא פיטרה אלפי עובדים וטענה שהוחלפו ב-AI, מה שגורם ללא מעט גולשים לטעון שאולי עדיף בני אנוש על בינה מלאכותית כדי לטפל בבעיות טכניות כאלה. אתמול (ב') דובר אינסטגרם אנדי סטון אמר בתגובה לפוסט של וונג ולאחרים כי הבעיה תוקנה כעת. לא ברור לכמה משתמשי אינסטגרם נפרצו החשבונות בצורה לא תקינה. מטא לא הגיבה לבקשות התגובה.