Instagram-fiók átvétel Meta AI-val
Egy súlyos logikai hiba miatt támadók képesek voltak az Instagram-fiókok helyreállítására szolgáló Meta AI ügyféltámogatási asszisztenst felhasználni fiókeltérítésekre. A sérülékenység lehetővé tette, hogy a chatbotot rávegyék egy célfiókhoz új e-mail-cím hozzárendelésére, majd jelszó-visszaállítás indítására, így a támadók teljes hozzáférést szerezhettek a fiókhoz.
A támadási lánc nem klasszikus rendszerfeltörés volt, hanem úgynevezett confused deputy típusú jogosultság-visszaélés. A Meta AI rendelkezett jogosultsággal fiók-helyreállítási műveletek végrehajtására, azonban bizonyos esetekben nem történt megfelelő tulajdonos-ellenőrzés a műveletek végrehajtása előtt. A támadók egyszerű szöveges utasításokkal – linkeld ezt az új e-mail címet a fiókhoz – manipulálták a chatbotot, amely végrehajtotta a kérést.
A beszámolók szerint elsősorban nagy értékű úgynevezett OG Instagram-felhasználóneveket céloztak, amelyek a feketepiacon akár több százezer dollárt is érhetnek. Az incidensek során kompromittálták többek között az @obamawhitehouse Instagram-fiókot is, ahol rövid ideig iráni propagandatartalom jelent meg. Több ismert kutató szintén jelezte, hogy elvesztette hozzáférését saját profiljához.
A támadók gyakran VPN-t vagy lakossági proxykat használtak, hogy a bejelentkezések földrajzilag a célpont szokásos helyéhez hasonlónak tűnjenek, így csökkentve a csalásfelderítő rendszerek riasztási esélyét. A közzétett információk szerint a módszer jellemzően nem működött olyan fiókok ellen, ahol többtényezős hitelesítés volt engedélyezve.
A Meta megerősítette a hibát és sürgősségi javítást adott ki. A vállalat szerint nem történt háttérrendszeri adatlopás vagy adatbázis-kompromittálás, ugyanakkor az AI-alapú ügyféltámogatási rendszerek új támadási felületet nyit. A szakértők szerint a jövőben egyre gyakoribbak lehetnek azok a támadások, amelyek nem sérülékenységeket, hanem az AI-rendszerek döntési logikáját és túlzott jogosultságait használják ki.
