Hace apenas una semana, el asistente de chat impulsado por IA de Metar, sin darse cuenta, dio a los piratas informáticos acceso a miles de cuentas de Instagram, incluidas cuentas de alto perfil como la del minorista de maquillaje Sephora. El suboficial de mayor rango de la Fuerza Espacial de EE. UU.así como La cuenta de la Casa Blanca de Barack Obama.
El número exacto se expresa entonces como Presentaciones regulatorias Con la Oficina del Fiscal General de Maine. Un total de 20.225 cuentas comprometidas (30 de las cuales eran residentes de Maine).
cortar, 404 Medios reportados La semana pasada, fue fácil tomar medidas enérgicas contra los titulares de cuentas que no permitieron la autenticación de dos factores. Los piratas informáticos simplemente pidieron al robot con tecnología de inteligencia artificial que cambiara su propia dirección de correo electrónico para una cuenta específica. Una vez que se concedió esto, los piratas informáticos solicitaron un restablecimiento de contraseña y le pidieron a AI que enviara un código a su dirección de correo electrónico personal. Después de que los piratas informáticos verificaron el restablecimiento de la contraseña, pudieron tomar el control de la cuenta.
Una edición paso a paso Vídeo del proceso Incluso apareciendo en X, los hackers están mostrando cómo Usé una VPN pensar que estaban en la posición objetivo. En ningún momento los piratas informáticos necesitaron la dirección de correo electrónico de un usuario ni una contraseña real.
en un Carta de notificación de incidente Al Fiscal General de Maine, Aaron Frey, el 5 de junio, Meta reconoció “una vulnerabilidad en el sistema de recuperación de cuentas de Instagram asistido por IA… que fue explotada por terceros no autorizados para restablecer contraseñas en cuentas de usuarios de Instagram”.
Después de que el exploit salió a la luz, muchos usuarios de Instagram lo denunciaron. Reddit y X que sus cuentas habían sido pirateadas, aunque el alcance del ataque no estaba claro en ese momento. Un meta portavoz Publicado en X Ese exploit se solucionó el 1 de junio, poco después de los informes iniciales.
¿Cómo se hackeó la IA?
El problema se debe casi en su totalidad al hecho de que la atención al cliente de Mater ahora está a cargo de AI. El gigante tecnológico. hizo el cambio En marzo, dijo que “habilitaría soporte 24 horas al día, 7 días a la semana para problemas de cuenta, como actualizar su contraseña y la configuración de su perfil”.
Pero como los chatbots de IA gestionaban todo el proceso, los humanos no podían intervenir cuando comenzaba una actividad sospechosa. Esto permite a los piratas informáticos lanzar ataques de estilo ingeniería social y realizarlos varias veces antes de que alguien se dé cuenta.
Se cerraron sesión por la fuerza en todas las cuentas afectadas y se recuperaron las direcciones de correo electrónico de todos los usuarios. Luego se pidió a los usuarios que restablecieran sus contraseñas y volvieran a autenticar sus inicios de sesión. Meta dice que una vez que las cuentas estén seguras, se enviará un segundo aviso para recordarles a las personas que activen la autenticación de dos factores para evitar futuros ataques.
Meta aún no ha respondido a una solicitud de comentarios.
Cómo protegerse de ataques similares
El exploit de ingeniería social tenía una limitación importante: no funcionaba en cuentas con autenticación multifactor. Estas cuentas ya tenían el código en su aplicación de autenticación preferida o lo recibieron por mensaje de texto. Sin la configuración MFA, el código de restablecimiento único parece enviarse a una dirección de correo electrónico de su elección, lo que permite a los piratas informáticos obtenerlo.
La mejor manera de protegerse es habilitar la autenticación multifactor, que está disponible en todas las plataformas Meta. es No te protegerá el 100% del tiempoPero es mucho mejor que una contraseña por sí sola y habría estado completamente protegida contra este exploit en particular.
Hay otras cosas que puedes hacer Aumentar la seguridad de la cuentaIncluir una dirección de correo electrónico personal para que sea más difícil usar claves de acceso cuando estén disponibles y encontrar las credenciales de su cuenta.
