近日,Meta 旗下 Instagram 的新型 AI 客服助手被曝存在严重的安全漏洞。黑客仅需通过与 AI 聊天,无需任何身份验证即可直接篡改用户的绑定邮箱,进而接管并盗走账号。
黑客利用了 AI 系统权限过高且缺乏双重验证(2FA)的致命弱点,整个盗号过程仅需四步:
- 伪装位置:使用 VPN 伪装成目标账号所在国家。
- 话术欺骗:向 Meta AI 发送精心设计的指令,自称是账号主人并要求更换新邮箱。
- 获取权限:AI 盲目信任,将验证码发送至黑客提供的新邮箱。
- 完成接管:黑客将验证码反馈给 AI,AI 便直接将账号邮箱替换为黑客信箱,黑客随即重置密码,完成盗号。
黑客主要锁定名称简短、稀有的高价账号(如 @hey、@jowo),得手后迅速在 Telegram 等黑市频道上公开倒卖。而多年未发文的奥巴马时期白宫官方账号也被盗取,并被发布了政治敏感内容,引发轩然大波。资安人士指出,该漏洞在被修补前可能已存在数月之久,受影响的账号数量恐高达数千个。
Meta 官方随后表示目前已紧急修复该漏洞。发言人强调,公司的后端系统并未遭到入侵,目前用户的 Instagram 账号是安全的。知名链上侦探 ZachXBT 严厉批评 Meta 的 AI 客服系统设计极其粗糙,不仅权限配置不当,还让黑客轻易绕过了基本的安全验证程序。
1 个帖子 - 1 位参与者
来源: LinuxDo 最新话题查看原文