由于 Meta 的 AI 辅助账户恢复系统中存在一个漏洞,黑客得以利用该系统接管了数千个 Instagram 账户。这个漏洞允许黑客欺骗聊天机器人,将密码重置链接发送到黑客自己的邮箱而非用户的注册邮箱。最终,至少有 20,225 名用户的账户被盗,导致其个人信息、帖子和私信面临风险。目前,Meta 已关闭该聊天机器人并修复了漏洞,同时通知受影响用户重置密码。
一个被滥用的 AI 漏洞
问题的核心在于 Meta 的 AI 聊天机器人存在一个设计缺陷。黑客发现,他们可以利用这个机器人来重置任何没有开启双重验证(2FA)的 Instagram 账户密码。
- 黑客向 AI 聊天机器人请求密码重置。
- 他们提供一个由自己控制的电子邮箱地址。
- 由于系统存在一个 bug,AI 机器人没有验证该邮箱是否与账户关联,便直接将密码重置链接发送了过去。
Meta 在其违规通知中解释道:“系统未能正确验证请求者提供的电子邮件地址是否与该用户的 Instagram 帐户关联的电子邮件地址相匹配……因此,系统错误地将密码重置链接发送到了那个不相关的邮箱,而不是拒绝该请求。”
一旦黑客收到重置链接,他们就可以设置新密码,从而完全控制该账户。
漏洞的规模与后果
这次攻击的影响范围相当广泛,并且持续了数月之久。
- 受影响人数: 根据 Meta 向官方提交的文件,至少有 20,225 人的账户被确认遭到入侵。
- 攻击持续时间: 这场黑客活动从大约 4 月 17 日开始,一直持续到本周被发现并修复。
- 数据泄露风险: 账户被盗后,黑客可以访问:
- 完整的个人资料信息,如联系方式和出生日期。
- 用户发布的所有帖子和故事。
- 全部私信内容。
- 账户的活动记录。
Meta 的应对措施
在发现该漏洞后,Meta 采取了一系列措施来控制损失并修复问题。
- 禁用 AI 机器人: Meta 已暂时禁用了存在问题的 AI 聊天机器人,并移除了允许其重置用户账户的错误代码。
- 通知受影响用户: 公司已开始通过邮件通知所有受影响的用户,要求他们立即采取行动保护自己的账户。
- 强制安全操作: Meta 指示受影响的用户必须重置密码并通过安全的官方渠道重新进行身份验证。
- 全面排查: 公司表示正在检查其平台上的其他聊天机器人,以防止类似事件再次发生。