PChome 6月2日消息,照片分享平台Instagram现已修复了一个安全漏洞,此前该漏洞导致多名用户账号遭到盗号。此次入侵手段的核心套路是诱骗Meta自研的人工智能客服聊天机器人放行权限,进而非法登入受害者账号。
PChome 6月2日消息,照片分享平台Instagram现已修复了一个安全漏洞,此前该漏洞导致多名用户账号遭到盗号。此次入侵手段的核心套路是诱骗Meta自研的人工智能客服聊天机器人放行权限,进而非法登入受害者账号。
据了解,上周末,多名Reddit用户表示自己的Instagram账号被盗,X平台也有不少用户发文警示同类账号劫持事件。被盗账号里,既有Obama奥巴马政府时期的白宫官方Instagram账号,但该账号自2017年后便处于停用状态,也包含美国太空部队总军士长约翰·本蒂韦尼亚的个人账户。
同时,安全研究员简·黄透露,她本人的Instagram账号也同样遭遇盗号。她称道“在我毫不知情的情况下登录密码被篡改,昨天一整天还接连收到多起异地密码重置申请,这相当令人担忧。”
图片源自:微博
这套攻击方法即攻击者使用VPN将IP定位至目标常用登录地区,降低系统风险判定,并在Meta AI聊天界面中,谎称是账号所有者,要求为被盗账号添加新邮箱,之后AI助手在无多重验证的情况下,向攻击者提供的邮箱发送验证码。黑客将收到的验证码反馈给AI,AI即完成邮箱变更流程,并提供“重置密码”选项,最终使攻击者完全控制账号。
图片源自:Google
目前,Meta已修复该漏洞,发言人安迪·斯通确认问题解决,暂无确切数据说明有多少用户账号遭非法入侵。此次事件被推测与Meta裁员后将客服功能过度依赖AI、权限管控不足有关。
