Meta 向缅因州检察长提交的数据泄露通知显示,超 2 万 Instagram 账户因 AI 账号恢复系统的漏洞被黑客利用,该漏洞允许攻击者绕过验证,将重置密码链接发送至攻击者控制的邮箱。
Meta 近日在向缅因州检察长办公室提交的数据泄露通知中确认,至少 20,225 名 Instagram 用户的账户因公司 AI 聊天机器人的漏洞被黑客窃取。该漏洞源于 Meta 的 AI 辅助账号恢复系统,攻击者可诱骗该系统将密码重置链接发送至攻击者提供的邮箱地址,而非账户持有人的原始邮箱。
黑客利用这一漏洞,在不需双因素认证的条件下,绕过了正常验证流程,直接重置用户密码并接管整个 Instagram 账户,包括关联的其他账户。Meta 在通知中表示,漏洞自 4 月 17 日起被持续利用,直到本周才被修复。受影响的用户数量及其时间跨度凸显了此次安全事件的严重性:攻击者可查看用户的联系人信息、出生日期、个人资料、帖子和私信等敏感数据。Meta 称尚不清楚具体哪些个人信息已被访问。
该事件最初由 404 Media 和 TechCrunch 报道,随后在 Hacker News 上引发热议,获得约 560 点 HN 热度。Meta 已开始向受影响用户发送密码重置通知,并指导其加固账户安全。
原文链接: https://this.weekinsecurity.com/meta-confirms-thousands-of-instagram-accounts-were-hacked-by-abusing-its-ai-chatbot/