Meta確認數千Instagram賬戶因AI聊天機器人漏洞被黑

Meta近日向數千名使用者發出通知，告知他們的Instagram賬戶在長達數月的AI聊天機器人漏洞利用中遭到駭客劫持。根據提交給緬因州總檢察長辦公室的資料洩露通知，至少20,225個賬戶受到影響，其中包括緬因州的30名使用者。這一數字首次揭示了此駭客攻擊活動的規模和時間跨度。

此次安全事件源於Meta為Instagram設計的AI輔助賬戶恢復系統。駭客發現該系統存在一個漏洞，能夠誘使AI聊天機器人將密碼重置連結傳送到攻擊者控制的郵箱地址，而非賬戶持有人的郵箱。Meta在通知中解釋稱：“該工具本身執行正常，但由於單獨程式碼路徑中的錯誤，系統未能正確驗證請求密碼重置的使用者提供的郵箱地址是否與該Instagram賬戶關聯。”因此，當攻擊者提供一個未關聯的郵箱時，系統錯誤地傳送了密碼重置連結。

一旦駭客獲得密碼重置連結，他們就可以更改受害者的密碼並完全接管賬戶。這包括訪問聯絡資訊、出生日期、個人資料資訊，以及檢視帖子、直接訊息和賬戶活動。Meta表示，目前“不清楚”在入侵過程中是否有任何個人資訊被訪問，但已要求受影響使用者重置密碼並透過安全渠道重新驗證身份。

攻擊始於4月17日左右，一直持續到本週Meta修復漏洞為止。Meta已暫時停用該AI聊天機器人，並移除了允許聊天機器人重置使用者賬戶的程式碼路徑。同時，Meta正在檢查其平臺上的其他聊天機器人，以防止類似事件再次發生。值得注意的是，Meta近期在裁員數千人的同時，透過股票激勵獎勵高管，並持續加大對AI的投入。目前尚無證據表明駭客訪問了敏感資料，但Meta建議使用者啟用雙因素認證以增強賬戶安全。此事件提醒我們，AI系統的安全性需要持續關注和改進。