Napadalci prelisičili Metin klepetalnik za vdor v Instagram profile

Meta se je znašla v neprijetnem položaju, potem ko so napadalci izkoristili njen podporni klepetalnik z umetno inteligenco za prevzem Instagram računov. Napadalci naj bi klepetalnik prepričali, naj spremeni e-poštni naslov, povezan z računom, nato pa so prek novega naslova izvedli ponastavitev gesla.

Meta je sporočila, da je bila težava odpravljena in da so zavarovali prizadete račune. Vendar dogodek ponovno odpira vprašanje, kako varno je ključne postopke, kot so obnovitev računa, sprememba e-pošte in ponastavitev gesla, prepustiti sistemom umetne inteligence, če ti nimajo dovolj strogo omejenih pravic in varnostnih preverjanj?

Po opisanem postopku naj bi torej napadalec stopil v stik z Metinim umetno inteligentnim podpornim asistentom in zahteval, naj se ciljni Instagram račun poveže z novim e-poštnim naslovom, ki je bil pod nadzorom napadalca. Ko je sistem na ta naslov poslal potrditveno kodo, jo je napadalec vnesel v klepet. S tem je potrdil novo e-pošto, nato pa je lahko sprožil ponastavitev gesla in izvornemu lastniku zaklenil račun.

Takšen napad je nevaren zato, ker napadalec očitno ni potreboval niti uporabnikovega starega gesla. Dovolj je bilo, da je prepričal sistem za podporo, da je upravičen do spremembe podatkov za obnovitev računa.

Incident naj bi sovpadal s prevzemom več odmevnih Instagram računov. Med njimi se omenja račun @obamawhitehouse, ki je začel objavljati vsebino z iransko propagando. Po poročanju 404 Media naj bi bili tarče tudi računi, povezani z ameriško vesoljsko silo (USSF; United States Space Force) in kozmetičnim trgovcem Sephora.

Incident z Instagram računi je opozorilo, da umetna inteligenca v uporabniški podpori ne sme biti obravnavana samo kot način za hitrejše reševanje zahtevkov. Ko dobi možnost izvajanja varnostno občutljivih dejanj, postane del varnostne arhitekture. To pomeni, da mora biti zgrajena, testirana in nadzorovana enako strogo kot sistemi za prijavo, plačila ali upravljanje identitete.