W ostatnich dniach doszło do masowych przejęć kont na Instagramie. Okazało się, że hakerzy wykorzystali sztuczną inteligencję, która zastąpiła ludzki zespół wsparcia i ma szerokie uprawnienia dostępu do profili użytkowników.
- Hakerzy wykorzystali lukę w systemie sztucznej inteligencji na Instagramie, by przejmować konta użytkowników.
- Choć Meta zapewniła, że luka została już załatana, pojawiają się doniesienia, że problem nadal istnieje.
- Więcej ważnych informacji z Polski i ze świata znajdziesz na RMF24.pl. Bądź na bieżąco.
Pod koniec maja na Reddicie i platformie X zaczęły pojawiać się doniesienia o masowych przejęciach kont na Instagramie. Niektórzy użytkownicy, których dotyczył ten problem, pisali, że stosowali bardzo skuteczną metodę ochrony swoich profili, czyli uwierzytelnianie dwuskładnikowe, rezygnując z autoryzacji SMS.
Nie wiadomo, ile kont zostało przejętych przez hakerów. Oprócz zwykłych użytkowników, wśród poszkodowanych znalazła się m.in. Jane Manchun Wong, badaczka ds. bezpieczeństwa i była pracownica Meta. Pojawiły się też doniesienia o przejęciu oficjalnego konta Białego Domu za czasów administracji Baracka Obamy, nieaktualizowanego od 2017 roku. Zanim udało się odzyskać profil, pojawiały się na nim proirańskie treści.
Szybko wyszło na jaw, w jaki sposób doszło do przejęć kont. Odkryto, że hakerzy omijają wszelkie ograniczenia, korzystając z wbudowanego w Instagrama chatbota wsparcia - narzędzia AI, które automatyzuje obsługę klienta lub pełni funkcję wirtualnego asystenta.
Instagramowy chatbot wykorzystuje opatentowaną technologię sztucznej inteligencji Meta i ma szerokie uprawnienia dostępu do kont użytkowników. Komunikując się z nim, hakerzy przekonali go do zmiany adresu e-mail powiązanego z konkretnym kontem. Następnie resetowali hasło i wyłączali wszystkie inne metody odzyskiwania dostępu.
Meta, właściciel Instagrama, potwierdziła istnienie problemu i zapewniła, że luka została już załatana. "Problem został rozwiązany, a konta, których dotyczył problem, są zabezpieczane" - poinformował 1 czerwca w krótkim wpisie na platformie X przedstawiciel Mety Andy Stone.
Wielu użytkowników skarżyło się na brak możliwości uzyskania pomocy od "żywego" konsultanta. "Dotarliśmy do punktu, w którym jedno AI kradnie konto, a drugie nie potrafi go odzyskać - nie ma żadnych ludzi w tym procesie" - napisał jeden z poszkodowanych.
Choć Meta zapewniła, że problem został rozwiązany, z doniesień wynika, iż nadal dochodzi do przejęć kont.
Organizacja CyberSecGuru twierdzi, że Meta zabroniła używania określonych fraz w rozmowie z chatbotem, pozostawiając jednocześnie asystentowi AI pełne uprawnienia. Hakerzy stają się bardziej wyrafinowani w swoich działaniach, manipulując sztuczną inteligencją za pomocą ukrytych znaków i starannie sformułowanych komunikatów.
Meta później ukryła przycisk chatbota, ale pozostawiła otwarte API. W efekcie uniemożliwiono dostęp do tej funkcji tylko zwykłym użytkownikom.
Cytowani przez BBC specjaliści ds. cyberbezpieczeństwa podkreślają, że coraz większa automatyzacja obsługi klienta przez AI niesie ze sobą poważne ryzyko.
Gdy chatboty mają zbyt dużą władzę i za mało weryfikacji, stają się poważnym zagrożeniem - ostrzega Marijus Briedis, dyrektor ds. technologii w NordVPN. Jego zdaniem proces odzyskiwania konta powinien być bardziej rygorystyczny i nie może opierać się wyłącznie na wygodzie użytkownika.
