Χάκερς ξεγέλασαν το AI chatbot της Meta και απέκτησαν πρόσβαση σε λογαριασμούς Instagram

Τον Μάρτιο, η Meta του Mark Zuckerberg παρουσίασε μια νέα λειτουργία υποστήριξης μέσω τεχνητής νοημοσύνης σε Facebook και Instagram, υποσχόμενη να βοηθά τους χρήστες στην επίλυση προβλημάτων λογαριασμού, καθώς και στον εντοπισμό και την αφαίρεση ψεύτικων προφίλ ή λογαριασμών που υποδύονται άλλους χρήστες.

Η κίνηση αυτή αποτέλεσε ακόμη ένα παράδειγμα της ολοένα αυξανόμενης τάσης της τεχνολογικής βιομηχανίας να αντικαθιστά παραδοσιακές υπηρεσίες εξυπηρέτησης πελατών με AI assistants.

Ωστόσο, όπως αποκαλύπτει το 404 Media, το νέο εργαλείο φαίνεται ότι λειτούργησε ακριβώς αντίθετα από τον σκοπό για τον οποίο δημιουργήθηκε.

Σύμφωνα με το δημοσίευμα, hackers κατάφεραν να εκμεταλλευτούν το chatbot της Meta, το οποίο τους παρείχε πρόσβαση σε λογαριασμούς υψηλού προφίλ στο Instagram.

Η μέθοδος ήταν εντυπωσιακά απλή.

Αφού χρησιμοποιούσαν VPN ώστε να εμφανίζονται ότι βρίσκονται στην ίδια γεωγραφική περιοχή με τον ιδιοκτήτη του λογαριασμού, ζητούσαν από το chatbot να αλλάξει το email που ήταν συνδεδεμένο με το προφίλ.

Με αυτόν τον τρόπο αποκτούσαν τη δυνατότητα να ολοκληρώσουν επιτυχώς τη διαδικασία ταυτοποίησης δύο παραγόντων (two-factor authentication) και να αποκτήσουν πρόσβαση στον λογαριασμό.

Ακόμη πιο ανησυχητικό είναι ότι, σύμφωνα με συνομιλίες σε ομάδες του Telegram που εξέτασε το 404 Media, το συγκεκριμένο κενό ασφαλείας φέρεται να υπήρχε εδώ και αρκετούς μήνες.

Η πρώην ερευνήτρια της Meta και γνωστή στον χώρο της κυβερνοασφάλειας Jane Wong περιέγραψε δημόσια τη δική της εμπειρία σε ανάρτηση στο Threads.

«Είτε το νέο Meta Accounts Center παρουσιάζει σοβαρό σφάλμα είτε ο λογαριασμός μου στο Instagram βρίσκεται στο στόχαστρο επίθεσης», έγραψε.

«Φαίνεται ότι ο κωδικός πρόσβασής μου άλλαξε χωρίς να το γνωρίζω και δεν μπορούσα πλέον να συνδεθώ».

Το περιστατικό αναδεικνύει για ακόμη μία φορά τα σοβαρά προβλήματα κυβερνοασφάλειας που εξακολουθούν να αντιμετωπίζουν τα AI chatbots.

Τα τελευταία χρόνια έχουν καταγραφεί πολυάριθμες περιπτώσεις όπου μεγάλα γλωσσικά μοντέλα παραβιάστηκαν, εξαπατήθηκαν ώστε να δώσουν λανθασμένες πληροφορίες ή ακόμη και επινόησαν ανύπαρκτες πολιτικές εταιρειών, προκαλώντας σύγχυση και σε ορισμένες περιπτώσεις ακόμη και δικαστικές διαμάχες.

Οι ειδικοί προειδοποιούν εδώ και καιρό ότι η παροχή προσωπικών δεδομένων σε chatbots ενέχει κινδύνους, καθώς μπορεί να οδηγήσει σε διαρροές ή κατάχρηση πληροφοριών.

Η Meta ειδικότερα έχει δεχθεί επανειλημμένα επικρίσεις για τον τρόπο με τον οποίο διαχειρίζεται τα δεδομένα των χρηστών της.

Τον Μάρτιο, για παράδειγμα, το The Information αποκάλυψε ότι ένας εσωτερικός AI agent της εταιρείας προκάλεσε σοβαρό περιστατικό ασφαλείας, εκθέτοντας ευαίσθητα δεδομένα χρηστών σε άτομα χωρίς τα απαραίτητα δικαιώματα πρόσβασης.

Παρότι δεν έχει επιβεβαιωθεί αν το περιστατικό αυτό συνδέεται με τη συγκεκριμένη ευπάθεια, οι αποκαλύψεις έρχονται μετά από σειρά παραβιάσεων γνωστών λογαριασμών στο Instagram, μεταξύ των οποίων εκείνοι του πρώην προέδρου των ΗΠΑ Barack Obama και του ανώτατου στελέχους της United States Space Force, John Bentivegna.

Σύμφωνα με το 404 Media, hackers προσέφεραν μάλιστα πρόσβαση σε λογαριασμούς υψηλού προφίλ έναντι μικρών χρηματικών ποσών, αξιοποιώντας το συγκεκριμένο κενό ασφαλείας.

Η Meta φέρεται πλέον να έχει διορθώσει το πρόβλημα.

Ωστόσο, δεδομένου ότι η ευπάθεια φαίνεται να παρέμενε ενεργή επί μήνες, οι επιπτώσεις της ενδέχεται να αποδειχθούν πολύ μεγαλύτερες από όσες γνωρίζουμε σήμερα.

ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΕΣ ΕΙΔΗΣΕΙΣ:

• Meta: Μισθοί έως 450.000 δολάρια και ισχυρά κίνητρα για ταλέντα στην τεχνητή νοημοσύνη
• Instagram: Η νέα λειτουργία που αποκαλύπτει ποιος βλέπει ξανά και ξανά τα stories σου
• Πώς το μεγαλύτερο data center Τεχνητής Νοημοσύνης της Meta αναστατώνει μια μικρή αγροτική πόλη