Meta momentálne rieši incident, pri ktorom mali útočníci podľa dostupných informácií zneužiť AI asistenta podpory na preberanie účtov na Instagrame. Server 404 Media uvádza, že hackeri vraj dokázali systém presvedčiť, aby počas procesu obnovy účtu pridal k profilu novú e-mailovú adresu. Následne už stačilo požiadať o reset hesla a účet ovládli.
Na tomto prípade je pozoruhodné najmä to, že nešlo o bežný phishing ani o prelomenie prihlasovacích údajov. Slabina mala byť priamo v systéme podpory, kde AI údajne dostala priveľké oprávnenia pri citlivých úkonoch, ako je obnova prístupu k účtu. Práve spojenie automatizovanej podpory a možnosti meniť dôležité bezpečnostné údaje sa ukázalo ako problémové.
Na Telegrame sa podľa správ šírili videá a screenshoty, ktoré mali ukazovať, ako sa táto chyba zneužíva. Útoky sa spájali s prevzatím viacerých známych profilov. Medzi spomínanými boli napríklad starý účet Barack Obama White House, profil Chief Master Sergeant of the Space Force či účet značky Sephora. Niektoré z nich vraj po prevzatí začali zverejňovať proiránsky obsah.
Medzi dotknutými mala byť aj bezpečnostná výskumníčka Jane Manchun Wong, ktorá upozornila na neznáme zmeny hesla a opakované pokusy o reset. Podľa popisu útoku pritom útočníci nemuseli ovládnuť pôvodný e-mail obete, čo je pri procese obnovy účtu mimoriadne závažné. Stačilo vraj, aby AI podpora prijala novú e-mailovú adresu ako legitímnu.
Portál Krebs on Security zároveň píše, že útok sa mal týkať najmä účtov bez zapnutého viacfaktorového overenia. Hackeri citovaní týmto médiom tvrdili, že na účty s aktívnym MFA tento postup nefungoval. Objavili sa síce aj náznaky, že v niektorých prípadoch mohlo dôjsť aj k obídeniu 2FA, no dostupné informácie si v tomto bode odporujú.
Na sociálnych sieťach sa medzitým objavili aj sťažnosti od bežných používateľov, ktorí kritizovali fungovanie AI podpory pri obnove účtu. Jeden z nich opísal, že strávil približne šesť hodín snahou dostať sa k ľudskému pracovníkovi podpory, no automatizovaný systém mu opakovane posielal len nefunkčné odkazy.
Práve to odhaľuje druhý problém celej situácie. Ak používateľ o účet príde, automatizovaná podpora mu nemusí pomôcť dostať sa k človeku dostatočne rýchlo. Výsledkom je paradoxná situácia, v ktorej jeden AI systém údajne umožní prevzatie účtu a iný AI systém potom nedokáže pomôcť s jeho získaním späť. Pri súkromných profiloch je to nepríjemné, pri firemných, tvorcovských alebo verejných účtoch už môže ísť aj o priamu finančnú škodu.
Meta prostredníctvom svojho hovorcu Andyho Stonea uviedla, že problém už opravila a postihnuté účty zabezpečuje. Stále však nie je známe, koľkých účtov sa incident v skutočnosti týkal ani ako dlho bola chyba zneužiteľná. Meta pritom už skôr rozširovala AI podporu pre Facebook a Instagram s cieľom, aby nešlo len o odporúčací nástroj, ale aj o systém schopný riešiť obnovu účtov či reset hesiel.
Celý prípad je zároveň varovaním pre firmy, ktoré presúvajú zákaznícku podporu na AI agentov. Pri jednoduchých otázkach môže automatizácia šetriť čas, no pri citlivých úkonoch, ako sú heslá, prístup k účtom či zmeny bezpečnostných údajov, musí mať systém jasne nastavené limity. AI podpora by nemala nahrádzať dôsledné overenie identity len na základe presvedčivo formulovanej požiadavky v chate.
Používatelia Instagramu by si preto mali skontrolovať zabezpečenie svojho účtu. Základom je zapnúť viacfaktorové overenie, ideálne cez autentifikačnú aplikáciu alebo passkey, preveriť pripojené e-mailové adresy a telefónne čísla a tiež si pozrieť aktívne prihlásenia. Pri pracovných alebo verejných účtoch sa navyše oplatí používať oddelený neverejný e-mail a pravidelne kontrolovať, či sa v nastaveniach neobjavili neznáme kontaktné údaje.
Diskusia
0 komentárovPre písanie komentárov sa musíš prihlásiť.
Zatiaľ žiadne komentáre
Buď prvý, kto sa vyjadrí.