Χάκερ ξεγέλασαν τον AI βοηθό της Meta και έκλεψαν λογαριασμούς Instagram

Χάκερ εξαπάτησαν τον AI βοηθό της Meta για να κλέψουν λογαριασμούς Instagram, χωρίς πρόσβαση στο email των θυμάτων. Το κενό διορθώθηκε.

Το Instagram διόρθωσε κενό ασφαλείας που επέτρεψε σε επιτιθέμενους να κλέψουν λογαριασμούς χρηστών, εξαπατώντας τον AI βοηθό εξυπηρέτησης πελατών της Meta ώστε να δώσει πρόσβαση σε ξένους λογαριασμούς. Η μέθοδος δεν απαιτούσε καμία πρόσβαση στο πραγματικό email που είχε δηλώσει το θύμα. Ανάμεσα στους παραβιασμένους λογαριασμούς βρίσκονται ο επίσημος λογαριασμός του Λευκού Οίκου από την εποχή Ομπάμα, αλλά και ο προσωπικός λογαριασμός κορυφαίου αξιωματικού της Διαστημικής Δύναμης των ΗΠΑ.

Πώς λειτουργούσε η επίθεση

Η όλη τεχνική στηρίχθηκε στο να πειστεί ο αυτοματοποιημένος βοηθός της Meta να παρακάμψει τους κανονικούς ελέγχους ταυτότητας. Ένα βίντεο που κυκλοφόρησε στο X αποκάλυψε ολόκληρη τη διαδικασία βήμα προς βήμα.

Αρχικά, ο επιτιθέμενος χρησιμοποιούσε VPN για να πλαστογραφήσει τη γεωγραφική τοποθεσία του στόχου, ώστε να μην ενεργοποιηθούν οι αυτόματοι μηχανισμοί ασφαλείας του Instagram. Στη συνέχεια απευθυνόταν στον AI βοηθό εξυπηρέτησης και ζητούσε να προστεθεί νέο email στον λογαριασμό του θύματος. Ο βοηθός έστελνε κωδικό επαλήθευσης στο email του χάκερ, εκείνος τον επέστρεφε, και το σύστημα εμφάνιζε κουμπί επαναφοράς κωδικού — δίνοντας έτσι τον πλήρη έλεγχο του λογαρισμού.

Η επίθεση πετυχαίνει επειδή ο AI βοηθός δέχεται την προσθήκη νέου email χωρίς να επιβεβαιώνει πρώτα τον αρχικό κάτοχο. Έτσι ο επιτιθέμενος δεν χρειάζεται ποτέ να σπάσει το πραγματικό, νόμιμο email που είναι συνδεδεμένο με τον λογαριασμό.

Ποιους λογαριασμούς χτύπησε

Το πρόβλημα έγινε ορατό το περασμένο Σαββατοκύριακο, όταν αρκετοί χρήστες στο Reddit και στο X ανέφεραν ότι τους έκλεψαν τον λογαριασμό. Στους παραβιασμένους περιλαμβανόταν ο επίσημος λογαριασμός του Λευκού Οίκου της προεδρίας Ομπάμα, ανενεργός από το 2017, καθώς και ο προσωπικός λογαριασμός του ανώτατου υπαξιωματικού της Διαστημικής Δύναμης των ΗΠΑ, John Bentivegna.

Θύμα έπεσε και η ερευνήτρια ασφάλειας Jane Wong. Όπως ανέφερε, ο κωδικός της άλλαξε εν αγνοία της, ενώ την επόμενη ημέρα δεχόταν συνεχώς αιτήματα επαναφοράς κωδικού από διαφορετικές τοποθεσίες — κάτι που χαρακτήρισε ιδιαίτερα ανησυχητικό.

Επιβεβαίωση και διόρθωση

Το TechCrunch επαλήθευσε ότι το email που εμφάνιζε ο χάκερ στο βίντεο όντως έλαβε τον κωδικό επαλήθευσης από την πλατφόρμα. Τη Δευτέρα, ο εκπρόσωπος του Instagram Andy Stone απάντησε κάτω από αναρτήσεις χρηστών, μεταξύ αυτών και της Jane Wong, δηλώνοντας ότι το κενό έχει πλέον κλείσει. Δεν υπάρχουν ακόμη επίσημα στοιχεία για το πόσοι λογαριασμοί παραβιάστηκαν συνολικά.

Η άποψή μας στο Techblog

Όταν εργαλεία τεχνητής νοημοσύνης αναλαμβάνουν την εξυπηρέτηση πελατών, γίνονται και νέα πύλη εισόδου για επιτιθέμενους — και αυτό το περιστατικό το δείχνει με τον πιο ξεκάθαρο τρόπο. Μέχρι οι πλατφόρμες να θωρακίσουν τους AI βοηθούς τους, η πιο πρακτική άμυνα παραμένει στα χέρια του χρήστη: ενεργοποίηση two-factor authentication και τακτικός έλεγχος των ενεργών συνεδριών και των συνδέσεων στον λογαριασμό. Αν κάτι μοιάζει ύποπτο, η άμεση αλλαγή κωδικού κερδίζει πολύτιμο χρόνο.