Los piratas informáticos lograron engañar al robot de soporte impulsado por IA de Meta para que tomara el control de varias cuentas de Instagram, incluidas algunas de alto perfil. Esto incluía cuentas pertenecientes a la Casa Blanca, la Fuerza Espacial de EE. UU. y la investigadora de seguridad Jane Wong.
Actualización: Meta reveló que aproximadamente 20.000 cuentas fueron comprometidas y explicó los pasos tomados en respuesta…
En uno de esos momentos en los que «no puedes inventar esto», los piratas informáticos lograron engañar al chatbot de soporte de IA de Meta para que le permitiera restablecer contraseñas en las cuentas de Instagram de otras personas. El método de ataque fue infantilmente simple.
- Iniciaron un proceso de restablecimiento de contraseña
- Cuando se les pidió que eligieran un método, seleccionaron Meta AI Support Assistant.
- Le pidieron al chatbot que agregara una nueva dirección de correo electrónico a la cuenta.
- Definitivamente lo hizo, aunque no habían iniciado sesión en esa cuenta.
- El chatbot envió un código a la nueva dirección de correo electrónico.
- Usaron este código para cambiar la contraseña.
- Este proceso también cerró la sesión del propietario de la cuenta en todos sus dispositivos.
Dark Web Informer publicó un vídeo del exploit en acción.
TechCrunch informa que las víctimas incluían cuentas de Instagram de alto perfil.
Las cuentas comprometidas incluyen la cuenta de Instagram de la Casa Blanca de la era Obama, que parece haber estado inactiva desde 2017; y el relato del sargento mayor de la Fuerza Espacial de EE. UU., John Bentivegna. La investigadora de seguridad Jane Wong dijo que su cuenta de Instagram también fue pirateada.
Alrededor de 20.000 cuentas comprometidas
Semana de la seguridad informa que Meta reveló que aproximadamente 20,225 cuentas de Instagram fueron comprometidas. Una pequeña cantidad de ellas pueden ser solicitudes genuinas de usuarios, pero la inmensa mayoría serán hacks.
Los atacantes podrían haber obtenido información de perfil, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, mensajes directos, publicaciones en redes sociales, así como información sobre la actividad de la cuenta y el historial de interacción.
El gigante de las redes sociales deshabilitó la herramienta abusada y solo la volverá a habilitar después de asegurarse de que se haya solucionado la vulnerabilidad. Los enlaces de restablecimiento de contraseña generados al explotar la vulnerabilidad han sido invalidados. Además, las cuentas afectadas fueron inscritas en un punto de control de seguridad obligatorio y se les restablecieron sus contraseñas.
Meta ha informado a los propietarios de las cuentas afectadas.
Foto por Azamat E. seguro desempaquetar
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
