最近,一个 Instagram 的安全漏洞被曝光。攻击者仅需知道账号用户名,并伪装在用户所在地区,就能欺骗 Meta 的人工智能客服,将密码重置链接发送到一个由攻击者控制的新邮箱。这个过程完全绕过了双重认证(2FA),导致攻击者可以轻松接管任何账号。尽管该漏洞现已被修复,但它曾活跃数周甚至数月,并催生了账号交易的黑市,暴露了大型科技公司在依赖自动化客服时存在的巨大安全风险。
一个几乎“愚蠢到不真实”的接管流程
攻击者只需两步就可以完全控制一个 Instagram 账号,整个过程几乎不需要任何技术验证。
第一步:伪造位置并发起支持请求 攻击者只需要目标的 Instagram 用户名。然后,他们使用 VPN 或代理将自己的网络位置伪装到目标用户所在的城市附近,以避免触发安全警报。接着,他们联系 Meta 的人工智能客服,声称账号被盗,并要求客服将验证码发送到一个由他们自己控制的任意邮箱地址。
第二步:接收验证码并重置密码 真的,就这么简单。人工智能客服似乎 不会核实 攻击者提供的新邮箱是否与账户历史记录有关联。一旦攻击者收到了发送到他们邮箱的安全码,他们就能用它来完成验证,平台随即会提供一个全新的密码重置链接。至此,攻击者获得了账户的 完整所有权。有时,AI 甚至可能要求进行视频自拍验证,但目前的系统识别能力很弱,使用目标用户主页上的公开照片制作的 AI 动画就足以骗过系统。
为什么常规安全措施会失效?
这个漏洞的可怕之处在于它能绕开所有你已经设置好的安全防线。
双重认证(2FA)形同虚设
因为系统将此流程视为“真正”所有者发起的高权限账户恢复,原有的双重认证(2FA)在此过程中被完全绕过。
真正的所有者被彻底锁定 一旦攻击成功,账号的密码和关联邮箱/手机号都会被更改。真正的所有者不会收到任何邮件、短信或推送通知,也无法通过常规渠道找回账户,因为恢复信息已经指向了攻击者。
没有人可以求助 你无法找到人工客服进行申诉。受害者只能徒劳地与那个导致问题发生的聊天机器人争论,祈祷对方不会再次得手。更糟糕的是,如果你是被选中参与 AI 客服测试的用户,你甚至无法选择关闭这个功能。
黑市与现实影响
这个漏洞催生了利润丰厚的黑市交易。
多个 Telegram 黑市群组开始提供 “账号接管”服务,收费高昂且成交迅速。考虑到一些简短的或有特殊意义的 Instagram 用户名价值数十万甚至数百万美元,这并不令人意外。
许多高知名度的账号因此被盗用,例如 奥巴马时期的白宫账号 (obamawhitehouse) 和美国太空部队总军士长的账号 (ocmssf)。
已修复,但警钟长鸣
Meta 公司目前似乎已经修复了这个漏洞,相关的黑市交易也已沉寂。但有迹象表明,这个方法已经活跃了数周甚至数月之久。
一个市值万亿美元的公司,其支持AI竟然会在被“好言相劝”后就轻易交出任何人的账户邮箱控制权,这件事如果不是如此滑稽,那将是极其恐怖的。