I december introducerade Meta en AI-baserad supportassistent för att göra kontoåterställning ”snabbare och enklare” för användare på Facebook och Instagram. Nu visar det sig att verktyget istället har fungerat som en genväg för hackare som velat kapa konton.
Säkerhetsforskare upptäckte sårbarheten under en helg och noterade att AI-verktyget gjorde det möjligt att ta över konton som till och med var skyddade med tvåfaktorsautentisering (2FA). Bevis på attackerna, inklusive skärmdumpar och videor, har cirkulerat på Telegram och visar hur enkelt hackare kunde manipulera systemet.
VPN användes för att lura systemet
Exploateringen byggde på att hackare helt enkelt bad AI-chattboten att byta den e-postadress som var kopplad till ett målkonto, för att därefter begära en lösenordsåterställning. Det som gjorde intrånget möjligt var chattbotens metod för verifiering: den förlitade sig på användarens fysiska plats. Genom att använda VPN-tjänster för att matcha måltavlans position kunde hackarna lura systemet att tro att de var de rättmätiga ägarna.
Kända konton drabbade
Flera uppmärksammade konton har bekräftats vara drabbade av säkerhetshålet:
- Obama-erans Vita huset-konto: Kontot, som varit inaktivt sedan 2017, kapades och användes för att publicera en AI-genererad bild som påstod att Vita huset stod under shiitisk kontroll.
- Sephora: Den stora skönhetskedjan drabbades av intrånget.
- Space Force: En högt uppsatt tjänsteman inom USA:s rymdstyrka fick sitt konto kapat.
Meta har åtgärdat problemet
Metas kommunikationschef Andy Stone har bekräftat att sårbarheten nu är åtgärdad och att företaget arbetar med att säkra de konton som påverkats. Meta har dock valt att inte specificera det totala antalet kompromitterade konton eller ge några detaljer kring vilka som låg bakom attackerna.
