Meta确认数千Instagram账户因滥用其AI聊天机器人被黑客入侵

Meta 通知数千人其 Instagram 账号在公司 AI 聊天机器人被滥用期间被劫持，黑客反复欺骗机器人控制用户账号。

在一封新的数据泄露通知信，由本周安全看到，Meta 首次披露有多少人因长期持续的黑客攻击而被劫持账号。该攻击早在本周被发现，并由404 Media ($)和TechCrunch ($)首次报道。受影响账号的数量为这场黑客行动的广度和持续时间提供了一定的透明度。

根据在缅因州总检察长办公室提交的泄露通知（周五晚提交），Meta 至少向 20,225 人通报其账号已被泄露，其中包括 30 位缅因州居民。

泄露导致黑客能够接管用户的整个 Instagram 账号及任何关联账号，获取联系信息、出生日期、个人资料信息，并能访问用户的帖子、私信和账号活动，通知中写道。

Meta 的通知确认此次泄露与“Instagram 的 AI 辅助账号恢复系统中的漏洞”有关，该漏洞被利用来“对 Instagram 用户账号执行密码重置”。

Image: @oracles / X

如先前报道，黑客利用 Meta 聊天机器人的缺陷，允许任何人重置未开启双因素认证的账号密码。该缺陷通过让聊天机器人将验证码发送到黑客控制的邮箱，而非账号持有者的注册邮箱，来欺骗系统。聊天机器人仍然照办。

Meta 在泄露通知中表示：“工具本身工作正常，按预期运行；然而，由于另一条代码路径中的错误，系统未能正确验证请求重置密码的个人提供的邮箱地址是否与该用户的 Instagram 账号关联的邮箱相匹配。”

“因此，当个人提供一个未与账号关联的邮箱地址时，系统错误地将密码重置链接发送到该未关联的邮箱，而不是拒绝请求。这使得未经授权的第三方能够收到他们不拥有的账号的密码重置链接。”公司补充道。

目前，Meta 表示，黑客可以重置他人密码并像合法所有者一样接管账号。

Meta 还表示，它“不知道”在黑客攻击期间是否访问了任何个人信息。（截至周六早上，向 Meta 新闻热线发送的询问此事的邮件未得到回复。）

根据缅因州的记录，黑客攻击始于 4 月 17 日，持续到本周，Meta 表示已对聊天机器人进行加固。Instagram 报道称，早在本周，受影响的用户已收到密码重置通知，尽管有人报告攻击仍在进行中。

Meta 在通知中还确认已提醒用户保护账号，表示“已指导受影响用户重置密码并通过安全、已验证的渠道重新认证”。

Meta 表示已暂时禁用 AI 聊天机器人，并移除了允许聊天机器人重置用户账号的代码路径，并表示正在检查其平台上其他聊天机器人，以防止类似事件再次发生。目前尚不清楚导致聊天机器人被滥用的具体情况，但这紧随 Meta 大规模裁员后不久，随后又对顶级高管发放股票激励，显示公司继续加码 AI。

~ ~

_感谢你阅读 ~本周安全~。如果你喜欢这篇文章，请__分享__它！如有任何反馈、问题或评论，欢迎随时联系：[_this@weekinsecurity.com_](mailto:this@weekinsecurity.com)。