Hackeři objevili nečekaně jednoduchý způsob, jak se zmocnit účtů na Instagramu: požádali o pomoc AI chatbota zákaznické podpory společnosti Meta. Podle zprávy serveru 404 Media útočníci zneužili slabinu k tomu, aby změnili e-mailové adresy spojené s účty na Instagramu. Po této změně bylo převzetí kontroly nad účty mnohem snazší.
Tato zranitelnost údajně kolovala ve skupinách na Telegramu, které používají hackeři a bezpečnostní výzkumníci, kde videa demonstrovala, jak snadný tento proces byl. Společnost Meta nakonec 29. května vydala nouzovou opravu. Mezi napadenými účty bylo několik významných profilů, včetně účtu Bílého domu Baracka Obamy a účtu patřícího hlavnímu rotmistrovi amerických kosmických sil. Během těchto útoků se na některých účtech krátce zobrazovaly proíránské zprávy a obrázky.
Podle 404 Media útočníci nejprve využili VPN, aby jejich poloha vypadala podobně jako region cílového účtu. Poté iniciovali žádost o resetování hesla a požádali AI chatbot, aby nahradil registrovanou e-mailovou adresu účtu adresou, kterou ovládali. Zprávy naznačují, že tato chyba mohla být aktivně zneužívána několik měsíců, přinejmenším od února, čímž byly potenciálně ohroženy tisíce účtů.
Výzkumníci také poznamenali, že kyberzločinci se zaměřili na účty na Instagramu s cennými uživatelskými jmény. Mezi nimi například i na účty jako @hey a @jowo, protože krátké a žádané přezdívky mohou na černých trzích dosahovat značných cen. Podle bezpečnostních výzkumníků přesáhla celková hodnota těchto účtů 1 milion dolarů.
Bezpečnostní výzkumníci popsali tuto zranitelnost jako variantu klasického problému zmateného zástupce, kdy je systém s vyššími oprávněními podveden k provedení akcí jménem útočníka.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Navzdory závažnosti chyby přitom existovala jedna jednoduchá obrana. Podle webu KrebsOnSecurity útočníci uvedli, že pokus o zcizení účtu selhal u účtů chráněných vícefaktorovým ověřováním, včetně základních ověřovacích kódů zasílaných prostřednictvím SMS.
Případ také připomíná, že v době, kdy společnosti stále častěji nasazují asistenty poháněné umělou inteligencí se schopností upravovat uživatelské účty a data, zůstávají robustní bezpečnostní kontroly nezbytné. Výzkumníci tvrdí, že kritické akce, jako je změna údajů o účtu, by měly vždy vyžadovat dodatečné ověření, monitorování a přísná bezpečnostní opatření, ať už požadavek pochází od kohokoliv.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU