1. Meta confirms 1000s of Instagram accounts were hacked by abusing its AI chatbot (this.weekinsecurity.com)
事件概述
Meta公司已向至少20,225名用户发出通知,确认其Instagram账户在长达数月的黑客攻击中被劫持。攻击者利用了Meta AI聊天机器人的漏洞,通过诱导机器人向黑客控制的邮箱发送密码重置链接,从而接管未开启两步验证的账户。
技术漏洞详情
- 根本原因:AI聊天机器人的辅助账户恢复系统存在代码路径缺陷,未能验证密码重置请求中的邮箱地址是否与账户绑定邮箱一致。
- 攻击方式:黑客向聊天机器人提供未关联账户的邮箱地址,系统错误地向该邮箱发送密码重置链接,导致账户被非法接管。
- 影响范围:受影响账户的个人信息(包括联系方式、出生日期、帖子、私信及账户活动)均可能泄露,且可关联至其他关联平台账户。
事件时间线与应对措施
- 攻击持续时间:从2023年4月17日开始,直至本周(2023年4月底)漏洞被修复。
- Meta的响应:
- 临时禁用涉事AI聊天机器人,并删除相关漏洞代码路径。
- 要求受影响用户通过安全渠道重置密码并重新验证账户。
- 正在排查其他平台聊天机器人的类似风险。
- 用户通知:Instagram于本周开始向受影响用户发送密码重置通知,部分用户反映通知期间攻击仍在持续。
事件背景
此次攻击被披露于Meta大规模裁员并加注AI投资的背景下,公司未透露具体信息泄露细节,也未回应媒体关于泄露数据具体范围的询问。