טכנולוגיה

Meta אומרת שאלפי חשבונות אינסטגרם נפרצו באמצעות עוזר התמיכה בבינה מלאכותית שלה

נתן בן דוד (Natan Ben-David) 2 שעות ago 1 min read

Meta קבעה סוף סוף מספר על כמה חשבונות אינסטגרם נפרצו לאחר שהאקרים רימו את הצ'אטבוט התמיכה ב-AI שלו כדי לעזור להם להשתלט על חשבונות.

חברת המדיה החברתית הגישה א הודעת הפרת נתונים עם משרד התובע הכללי של מיין ביום שישי, וקבע כי 20,225 אנשים נפגעו. לפי ההגשה, ההפרה החלה ב-17 באפריל והתגלתה ב-31 במאי.

מספר רשתות דיווחו בשבוע שעבר שהאקרים הצליחו לשכנע את צ'אט בוט התמיכה בבינה מלאכותית של Meta לקשר כתובות אימייל שבשליטתם לחשבונות אינסטגרם שאינם בבעלותם. זה אפשר להאקרים לאפס סיסמאות ולהשתלט על החשבונות.

דיווח 404 Media שההתקפות התרחשו במקביל לפריצה למספר חשבונות אינסטגרם בעלי פרופיל גבוה, כולל חשבון הבית הלבן של ברק אובמה, החשבון של הסמל הראשי של חיל החלל האמריקאי והחשבון חברת האיפור Sephora.

ההפרות מגיעות על רקע החשש הגובר שבינה מלאכותית יכולה להפוך את התקפות הסייבר למהירות וקלות יותר. גוגל אמרה לאחרונה שהאקרים השתמשו בבינה מלאכותית כדי לעזור לגלות פגיעות של יום אפס, לפי הדיווחים, הפנטגון בוחן מודלים של בינה מלאכותית בעלי יכולת סייבר, וחוקרים הזהירו כי תולעים המונעות בינה מלאכותית עלולות להתפשט עם מעט מעורבות אנושית. אבל התקפות אינסטגרם מראות שהסיכון יכול להיות הרבה יותר פשוט.

מטא הכריז עוזר התמיכה בבינה מלאכותית שלה במארס, ואמר שזה יעזור למשתמשים לפתור בעיות בחשבון כמו איפוס סיסמה.

לפי דיווחים קודמים, האקרים השתמשו ב-VPN כדי לגרום לזה להיראות כאילו הם נמצאים באותה מדינה כמו החשבונות שהם מכוונים אליהם. לאחר מכן הם יזמו איפוס סיסמה וביקשו לשוחח בצ'אט עם עוזר התמיכה בבינה מלאכותית של Meta. משם הם ביקשו מהעוזר לקשר את כתובת המייל שלהם לחשבון היעד.

לאחר מכן עוזר הבינה המלאכותית ישלח קישור לאיפוס סיסמה לאימייל של התוקף. התוקף יכול להשתמש בקישור הזה כדי לסיים את איפוס הסיסמה ולקבל גישה לחשבון. ראוי לציין כי נראה שהמתקפה פעלה רק בחשבונות שלא הופעל בהם אימות דו-שלבי.

"הכלי עצמו פעל כראוי ותפקד כמתוכנן; אולם עקב באג בנתיב קוד נפרד, המערכת לא אימתה כראוי שכתובת הדואר האלקטרוני שסיפק האדם המבקש לאפס סיסמה תואמת את כתובת הדוא"ל המשויכת לחשבון האינסטגרם של אותו משתמש", כתבה מטה בהודעה ליועץ המשפטי לממשלה של מיין.

לפי ההודעה, מטה אמרה כי היא אינה מודעת לאיזה מידע אישי, אם בכלל, ניגשה בפועל. אבל החברה אמרה שתוקפים היו יכולים לגשת למידע כמו פרטי קשר, תאריכי לידה, פרטי פרופיל, הודעות ישירות, היסטוריית חשבון ומידע מחשבונות מחוברים או שירותים מקושרים.

"תייקנו את הבעיה הזו, אבטחנו חשבונות מושפעים ושחזרנו את הגישה של אנשים. חלק מהבדיקות האחוריות הפנימיות שלנו נכשלו במקרה זה, אבל זה לא נבע מסוכן הבינה המלאכותית עצמו, וטיפלנו בגורם הבסיסי. בהתאם להתחייבויות שלנו, אנו מודיעים לרגולטורים על הבעיה וגם נודיע רשמית באימייל שהושפעו מ-G.

החברה הוסיפה, בהודעת ההפרה, כי באותו יום שזוהתה הפריצה החברה השביתה את כלי התמיכה בעזרת AI, הסירה את נתיב הקוד הפגיע וביטלה קישורים קיימים לאיפוס סיסמה.

החברה גם אמרה שהיא עורכת סקירה של זרימות שחזור חשבון דומות על פני פלטפורמות Meta כדי לחפש ולתקן פגיעות דומות.

Source link