Массовые взломы Instagram* продолжаются: хакеры обходят двухфакторную аутентификацию через Meta* AI

Аккаунты в социальной сети Instagram* продолжают подвергаться взломам. Злоумышленники используют текстовые запросы к ИИ-помощнику Meta* AI (искусственный интеллект, разработанный Meta*) для изменения привязанных электронных адресов и захвата профилей, обходя при этом двухфакторную аутентификацию.

Несмотря на заявления Meta* о решении проблемы, пользователи по-прежнему сообщают о взломах. Некоторые разработчики предполагают, что компания лишь убрала кнопку «Получить поддержку» из пользовательского интерфейса, оставив программные интерфейсы (API) — набор функций, которые позволяют программам взаимодействовать друг с другом — уязвимыми.

Этот инцидент с безопасностью произошел на фоне массовых увольнений в Meta* и перераспределения сотрудников в ИИ-проекты. По неподтвержденным данным, отдел безопасности и доверия Instagram* сократился на 60%.

Детали уязвимости и реакция Meta*

Чрезмерная зависимость компании Meta* от своего чат-бота Meta* AI и недавние кадровые перестановки, ориентированные на развитие искусственного интеллекта, привели к серьёзным последствиям. Хакеры получили доступ к нескольким известным аккаунтам Instagram*, отправляя простые текстовые запросы в Meta* AI, что позволяло менять привязанный к профилю адрес электронной почты.

Вице-президент по коммуникациям Meta* Энди Стоун заявил, что «проблема решена, и мы обеспечиваем безопасность пострадавших аккаунтов». Однако, судя по всему, проблема остаётся нерешенной, поскольку взломы Instagram* продолжаются, и некоторые пользователи утверждают, что Meta* лишь ограничила доступ к уязвимости с пользовательской стороны, оставив внутренние системы незащищенными.

Подтверждения от экспертов и пользователей

Известный реверс-инженер и эксперт по безопасности Джейн Манчун Вонг сообщила, что один из её второстепенных аккаунтов с коротким четырёхбуквенным именем пользователя был взломан, несмотря на включенную двухфакторную аутентификацию. Также стало известно, что пароль от основного аккаунта Вонг в Instagram* был снова изменён без её ведома. Оба инцидента произошли уже после того, как Meta* объявила об устранении проблемы.

Под постами Вонг многочисленные комментаторы подтверждают, что проблема сохраняется. Примечательно, что даже Эстер Кроуфорд, бывший директор по управлению продуктами в Twitter/X и нынешний директор по управлению продуктами в Meta*, заявила о взломе её пятибуквенного имени пользователя в Instagram*.

Позднее Энди Стоун из Meta* в ответ на другое сообщение упомянул, что компания «уже защитила затронутые аккаунты» и что некоторые пользователи могут получить уведомления о сбросе пароля, а другим будут заданы вопросы безопасности при попытке входа.

«Исправление» или временная мера?

Однако, по заявлениям пользователей Telegram-канала Bugify Vault, «исправление» от Meta* заключалось лишь в удалении кнопки «Получить поддержку» из пользовательского интерфейса. Это затрудняет злоумышленникам доступ к уязвимости, но не устраняет её полностью, поскольку программные интерфейсы Meta* AI, по всей видимости, остаются доступными. Сообщается, что более опытные хакеры уже перешли на использование Telegram-ботов и других скриптов для взаимодействия с Meta* AI и получения доступа к аккаунтам Instagram*.

Мотивация хакеров и кадровые изменения

Какова же мотивация хакеров? Аккаунты Instagram* с большим количеством подписчиков привлекают злоумышленников из-за широкого охвата аудитории. Уникальные имена пользователей также активно похищаются («снайпинг») и впоследствии продаются тем, кто готов платить за запоминающийся ник. Учитывая предполагаемую простоту взлома, эти стимулы оправдывают усилия.

По данным The New York Times, недавно Meta* уволила более 8 000 сотрудников по всей компании и перераспределила ещё 7 000 человек в новые ИИ-проекты в рамках своей стратегии развития искусственного интеллекта. Неподтвержденные данные указывают на то, что отдел безопасности и доверия Instagram* сократился на 60% из-за этих увольнений и принудительных переназначений.

Редакция обратилась к Meta* за комментариями относительно продолжающихся взломов, предпринятых шагов по устранению уязвимости в Meta* AI и внедрения новых мер безопасности. Обновления будут добавлены по мере поступления информации. До тех пор, пока уязвимость не будет полностью устранена, реальной защиты аккаунта Instagram*, даже при включенной двухфакторной аутентификации, практически нет.

* — деятельность компании запрещена на территории РФ