Meta a remediat o vulnerabilitate prin care botul MetaAI putea iniția resetări de parolă pe Instagram fără verificare de identitate - conturi „short-handle” ar fi fost scoase la vânzare pe Telegram, evaluate la peste 1 milion de dolari cumulat

Meta a închis o breșă operațională în suportul Instagram după ce atacatori au reușit să convingă agentul de asistență bazat pe inteligență artificială să inițieze resetări de parolă fără verificări de identitate, potrivit TechRadar . Incidentul arată riscul de a delega către sisteme automate procese sensibile, precum recuperarea conturilor. Atacul a fost unul de inginerie socială : infractorii au purtat o conversație cu chatbotul MetaAI și l-au determinat să trimită coduri de resetare a parolei pentru conturi care nu le aparțineau, fără să ceară verificare de identitate. Cercetătorii care au făcut public cazul au atras atenția că astfel de sarcini, dacă sunt automatizate, pot deveni puncte de intrare în compromiterea conturilor. De ce contează: conturi „premium” pot fi monetizate rapid Țintele au fost conturi Instagram cu nume scurte („short-handle”), considerate valoroase deoarece au, de regulă, audiențe foarte mari și pot fi revândute pe piața neagră. Conform cercetătorilor ZachXBT și Dark Web Informer, atacatorii au obținut coduri de resetare pentru conturile altor persoane. Două conturi, și , ar fi fost listate la vânzare pe canale de Telegram pentru „peste 1 milion, cumulat”, potrivit Cybersecurity News (citat de TechRadar ). Cercetătorii au urmărit apariția listărilor în mai multe comunități de hacking de pe Telegram. Ce a făcut Meta și ce spune compania Meta a remediat problema „vinerea trecută seara”, conform articolului. Compania a transmis ulterior: „Am remediat o problemă care permitea unei părți externe să solicite e-mailuri de resetare a parolei pentru unii utilizatori Instagram. Nu a existat nicio breșă a sistemelor noastre și conturile Instagram ale oamenilor rămân sigure.” Publicația notează și un aspect important pentru utilizatori: în acest caz, atacul a vizat fluxul de suport al platformei, nu utilizatorii direct, astfel că opțiunile de prevenție la nivel individual au fost limitate. Implicații pentru companii: automatizarea suportului trebuie „îngrădită” pe procese critice Cazul evidențiază o vulnerabilitate de proces: dacă un agent automat poate declanșa resetări de parolă fără controale robuste, atacatorii pot transforma conversația cu un bot într-o cale de preluare a conturilor. Pentru organizații, lecția este că automatizarea în suport trebuie însoțită de verificări stricte pentru operațiuni cu impact mare (recuperare cont, schimbare e-mail, resetare parolă), tocmai pentru a reduce suprafața de atac la inginerie socială. [...]