Kétségtelenül a legkomolytalanabb, szinte túl ostoba ahhoz, hogy igaz legyen – értékelte blogjában egy a neten Sid névvel futó biztonsági kutató azt a hibát, ami miatt jó néhány Instagram-fiókot feltörhettek.

Bár a TechCrunch szerint az Instagram már orvosolta a problémát, a biztonsági rés nem vet túl jó fényt sem a közösségi oldal biztonsági rendszerére, sem a Meta mesterségesintelligencia-fejlesztéseire. A feltételezések szerint ugyanis utóbbi "belső emberként" segítette a hekkelést.

A Redditen a hétvégén több felhasználó is arra panaszkodott, hogy feltörték az Instagram-fiókját, és nem tudja visszaállítani a hozzáférését. Azóta kiderült, hogy az áldozatok között volt például a Fehér Ház 2017 óta inaktív fiókja, amit még Barack Obama elnöksége alatt használtak, de ennél érzékenyebbek, például aktív katonák fiókjai fölött is átvehették az irányítást.

Sid a blogján lépésről lépésre leírta, mennyire egyszerű a folyamat.

1. lépés: A támadónak mindössze a feltörendő fiók felhasználónevét kell megszereznie. Utána VPN vagy proxy segítségével meghamisítja a tartózkodási helyét a valódi felhasználóhoz közeli helyszínre – ezt ki lehet olvasni például a nyilvános profilokból. Végül pedig küldenek egy üzenetet a Meta MI-alapú chatbotjának, az AI Support Assistantnak, hogy a fiókot feltörték, ezért küldje el az ellenőrző kódokat adott e-mail-címre.

2. lépés: Nincs második lépés. A chatbot elküldi a biztonsági kódot, amit a támadó visszaküld az ellenőrzés befejezéséhez, és már meg is kapja a jelszó-visszaállító linket, amin keresztül átveheti a irányítást a fiók fölött.

Ezek alapján úgy tűnik, a rendszer nem ellenőrizte – azért a múlt idő, mert időközben megszüntették ezt a kiskaput –, hogy a visszaállításhoz megadott cím valóban az-e, amit a felhasználó korábban megadott. De mint a kutató megjegyezte, a kétfaktoros azonosítás kijátszása sem különösebben nehéz. Ha az oldal videós szelfit kér a támadótól, elég felmutatni egy mesterséges intelligencia által animált nyilvános fotót.

Aki inkább vizuális típus, nézze meg az X-en közzétett videót. A hekker VPN mögül megkéri a Meta AI Support Assistantot, hogy adjon hozzá egy új e-mail-címet a megcélzott fiókhoz. A chatbot ellenőrző kódot küld a megadott címre. A hekker a kódot beadja a chatbotnak, ami cserébe ad egy jelszó-visszaállítási gombot.

Jól pörögtek a feketepiacon

A fentebb már idézett Sid szerint hirtelen több olyan Telegram-csoport is felbukkant, melyek fiókátvételi szolgáltatásokat kínáltak gyors átfutási idővel. Egyes fiókok ugyanis akár több százezer, sőt akár több millió dollárt is érhetnek. A javítás után azonban ezek a csoportok elnémultak.

Nem tudni – a Meta nem közölte –, hogy mióta állhatott fenn a probléma, és hány fiókot érinthetett. Sid szerint szinte biztos, hogy a hekkelési módszer legalább néhány hétig használható volt.