Los piratas informáticos engañaron al robot de soporte impulsado por IA de Meta para que se hiciera cargo de varias cuentas de Instagram, incluidas algunas de las más destacadas. Entre ellos se encontraban relatos de la Casa Blanca, la Fuerza Espacial de Estados Unidos y la investigadora de seguridad Jane Wong.
Actualización: Meta ha revelado que alrededor de 20.000 cuentas han sido comprometidas y ha explicado las medidas que ha tomado en respuesta…
En uno de esos momentos en los que “no puedes recuperarlo”, los piratas informáticos engañaron al chatbot de soporte de IA de Meta para que permitiera a otras personas restablecer las contraseñas en sus cuentas de Instagram. El método de ataque fue infantilmente simple.
- Han iniciado un proceso de restablecimiento de contraseña.
- Cuando se les pidió que eligieran un método, eligieron Meta AI Support Assistant
- Le pidieron al chatbot que agregara una nueva dirección de correo electrónico a la cuenta.
- Lo hizo sin lugar a dudas a pesar de que no habían iniciado sesión en esa cuenta.
- El chatbot envió un código a la nueva dirección de correo electrónico.
- Usaron ese código para cambiar la contraseña.
- Este proceso cierra la sesión del propietario de la cuenta en todos sus dispositivos.
Dark Web Informer publicó un vídeo del exploit en acción.
TechCrunch Los informes dicen que algunas de las víctimas tienen cuentas de Instagram de alto perfil.
Las cuentas comprometidas incluyen el identificador de Instagram de la Casa Blanca de la era Obama, que parece haber estado inactivo desde 2017; y el relato del sargento mayor jefe de la Fuerza Espacial de EE. UU., John Bentivegone. La investigadora de seguridad Jane Wong dijo que su cuenta de Instagram también fue pirateada.
Unas 20.000 cuentas fueron comprometidas
Semana de la seguridad El informe afirma que Meta ha revelado que alrededor de 20.225 cuentas de Instagram fueron comprometidas. Una pequeña cantidad de ellas pueden ser solicitudes genuinas de usuarios, pero la gran mayoría son pirateadas.
Los atacantes pueden obtener información de perfil, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, mensajes directos, publicaciones en redes sociales e información sobre la actividad de la cuenta y el historial de interacciones.
El gigante de las redes sociales desactivó la herramienta abusada y la volverá a habilitar solo después de asegurarse de que se solucione la vulnerabilidad. Los enlaces de restablecimiento de contraseña creados aprovechando la vulnerabilidad se invalidan. Además, las cuentas afectadas fueron inscritas en un punto de control de seguridad obligatorio y se les restablecieron sus contraseñas.
Meta ha notificado a los propietarios de cuentas afectados.
Foto por Azmat E. en desempaquetar
