以前、セキュリティ研究者らは、ソーシャルメディアグループMetaが所有するInstagramに重大なセキュリティ問題があることを明らかにした。プラットフォームで使用される AI アカウント回復アシスタントにはロジックの脆弱性があります。ハッカーは AI アカウント回復アシスタントに直接話しかけて、特定のアカウントのパスワードをリセットし、バインドされた電子メール アドレスをハッカーが管理する電子メール アドレスに変更するように要求できます。プロセス全体を通じて、AI アカウント回復アシスタントは開始者からの検証を必要としません。
黒人と灰色のギャングは主に価値の高い Instagram アカウントをターゲットにしています。これらのアカウントで使用されるユーザー ID は通常、非常に短いです。ハッカーはこれらのアカウントを乗っ取って転売することで、100万ドル以上の違法利益を得ています。セキュリティ研究者によって暴露された後、Meta は脆弱性を修正し、盗まれたアカウントを処理しているとのメッセージを発表しました。
修正は、フロントエンド インターフェイスで AI アシスタントを非表示にすることです。
Meta が脆弱性を修正したと発表した後でも、ユーザー アカウントは依然として盗まれ続けています。 Meta の製品管理ディレクターである Esther Crawford (元 X/Twitter の製品管理ディレクター) でさえ、Instagram アカウントをハッカーに盗まれました。なぜこの問題が起こったのでしょうか? Meta は脆弱性をまったく修正しなかったため、AI アカウント回復アシスタントをフロントエンド ページから非表示にしただけでした。
経験豊富なハッカーは、AI Account Recovery Assistant API エンドポイントがまだアクセス可能であることを簡単に見つけることができるため、ブラック アンド グレーのプロダクション ギャングは API を介して AI Account Recovery Assistant と対話するための Telegram ロボットとスクリプト ツールを直接構築します。このプロセスは、フロントエンド インターフェイスから手動でアクセスするよりもさらに簡単です。つまり、操作全体がより効率的になり、黒人と灰色のプロダクション ギャングがより多くのアカウントをより迅速に盗むことができるようになります。
攻撃プロセス全体には、Meta のデータベース、バックエンド サーバー、または脆弱性の悪用は含まれません。これは、AI Account Recovery Assistant の高特権ロジックの問題を悪用しているだけです。つまり、Meta は AI Account Recovery Assistant に高すぎる権限を与えますが、即時的な言葉による攻撃に対しては保護しません。したがって、ハッカーはプロンプトの言葉を使用して AI アカウント回復アシスタントを誘導し、ハッカーと協力して特定のアカウントのパスワードとバインドされた電子メール アドレスをリセットすることができます。
2FA 検証を有効にしても盗難は防止できません。
以前のレポートで、ユーザー アカウントが 2FA 検証にバインドされている場合、AI アカウント回復アシスタントは 2FA 保護を直接バイパスできないため、アカウントを盗むことはできないと述べました。ただし、現在は状況が多少異なる可能性があります。 Meta が修正を発表した後、有名なリバース エンジニアの Jane Manchun Wong 氏のアカウントも盗まれ、彼女のアカウント自体が 2FA 認証を有効にしていました。
この観点から、AI Account Recovery Assistant は、メールをリセットした後にユーザーがバインドした 2FA 検証のバインドを解除できる可能性があります。通常、電子メールを通じて 2FA のバインドを直接解除することは不可能です。ハッカーは何らかの即興的な言葉を使ってAIアカウント回復アシスタントにアカウントの2FA認証のバインドを解除するよう誘導したと推定されており、現在の状況は非常に混乱しており、Metaはこの問題に対応するための情報を公開していません。