駭客可能利用Meta的AI聊天機器人劫持超過2萬個Instagram賬戶

Meta公司向緬因州提交的一份通知中確認，駭客很可能利用其AI支援聊天機器人劫持了超過20,225個Instagram賬戶。該漏洞由Bleeping Computer首先發現，Meta將其歸咎於一個“bug”。攻擊者無需雙因素認證，僅透過向聊天機器人請求密碼重置即可接管賬戶。

Meta在通知中詳細解釋了這個漏洞的工作原理：工具本身執行正常且符合預期，但由於另一程式碼路徑中的缺陷，系統未能正確驗證請求密碼重置的個人提供的電子郵件地址是否與該Instagram賬戶關聯。因此，當個人提供之前未關聯的電子郵件地址時，系統錯誤地將密碼重置連結傳送到該未關聯郵箱，而未拒絕請求。這允許未經授權的第三方接收他們不擁有的賬戶的密碼重置連結。

Meta表示，攻擊首次出現於5月31日，Meta傳播主管Andy Stone稱公司於6月1日“解決”了該事件。在此期間，多個高知名度Instagram賬戶受到影響，包括前總統巴拉克·歐巴馬的白宮舊賬戶、美國太空軍高階軍士長John F. Bentivegna以及化妝品零售商絲芙蘭。這些賬戶的劫持引起了廣泛關注，凸顯了AI工具在安全方面的潛在風險。

Meta在通知中補充，尚不清楚是否有任何個人資料因該漏洞被訪問，但指出賬戶劫持者可能獲取了電子郵件地址、電話號碼、出生日期、社交媒體帖子、私信、個人資料資訊、賬戶活動及關聯賬戶。這意味著受影響使用者的隱私可能受到嚴重侵犯。

通知稱，有30名受影響使用者居住在緬因州。這一數字指的是“透過支援工具重置密碼、未啟用雙因素認證且其Instagram賬戶可能被未經授權方訪問的使用者”——不過Meta表示這是“上限”，因為其中一些賬戶可能是合法訪問。儘管如此，這一數字反映出漏洞的影響範圍。

Meta稱，已停用其AI支援工具並移除有漏洞的程式碼路徑，同時廢除所有利用該漏洞生成的密碼重置連結。公司還將所有可能受影響的賬戶納入“強制安全檢查，要求在訪問賬戶前進行身份驗證”。這一系列措施旨在防止類似事件再次發生，並保護使用者賬戶安全。此次事件再次提醒我們，即使是最先進的AI技術，也可能因微小的程式碼缺陷而成為安全隱患。