소셜 미디어에 대한 보도에 따르면 Meta의 AI 지원 도우미는 해커들이 유명 Instagram 계정에 액세스할 수 있도록 돕고 있습니다. 확인 확인 없이 Meta AI는 Instagram 계정과 연결된 이메일 주소를 변경하여 비밀번호를 업데이트할 수 있습니다.
Meta는 고객이 연중무휴 계정 지원에 더 쉽게 액세스할 수 있도록 하기 위해 지난 12월 AI 지원 도우미를 도입했습니다. 사기 신고, 콘텐츠 제거에 대한 정보 얻기, 비밀번호 재설정에 사용될 수 있습니다. 후자의 옵션은 악의적인 행위자가 악용할 수 있는 옵션입니다.
Instagram 취약점은 주말 동안 소셜 미디어에 나타났으며 계정에 액세스하기 위해 취한 간단한 단계를 시연했습니다. 한 데모에서 해커는 Meta의 지원 봇에게 대상 Instagram 계정에 연결된 이메일 주소를 변경하도록 요청하고 AI는 질문 없이 이를 수행합니다.
Meta의 지원은 강력한 신원 확인을 수행하지 않았으며 경우에 따라 이중 인증을 우회한 것으로 보입니다. 필요한 것은 대상 계정 근처의 위치로 설정된 VPN 연결뿐이었습니다. 이는 사소한 일입니다. 메타는 위치를 기반으로 계정 소유권을 확인하는 것으로 나타났습니다. "우리 시스템은 사용자가 일반적으로 사용하는 장치와 친숙한 위치를 그 어느 때보다 더 잘 인식합니다"라고 AI 지원 에이전트에 대한 Meta의 블로그 게시물이 나와 있습니다. 어떤 경우에는 사용자에게 셀카로 신원을 확인하도록 요청했는데 AI를 사용하여 이를 우회했습니다.
짧은 기간 동안 이 익스플로잇은 대중에게 공개되었고 계정 탈취가 급증했습니다. 한 보안 연구원은 암시장 인스타그램 서비스를 제공하는 텔레그램 채널이 메타의 AI를 이용해 "많은 수익을 올렸다"고 말했습니다. 404 미디어는 해커들이 3월부터 이러한 공격을 인지하고 있었다고 말했습니다.
Meta는 주말 동안 이 문제를 패치했으며, 오늘 Meta의 커뮤니케이션 부사장인 Andy Stone은 이 문제가 해결되었다고 말했습니다. Meta는 이제 "영향을 받는 계정을 보호"하고 있습니다.
Instagram 공격 벡터에 대한 정보는 해커가 우주군 최고 상사인 세포라(Sephora), 연구원 Jane Manchun Wong, @albert를 소유한 개발자 Albert Renshaw 및 보관된 Barack Obama 백악관 계정의 계정을 탈취할 수 있게 된 후에 나온 것입니다. 바람직한 Instagram 계정을 가진 다른 여러 사용자가 자신의 계정이 도용되었다고 보고했습니다.
주말 동안 계정을 도난당한 일부 사용자는 AI를 사용하여 계정을 복구할 수 없었고, 사람에게 도움을 요청할 수 있는 옵션도 없었습니다.