早前有安全研究员爆出社交媒体集团Meta旗下的Instagram出现重大安全问题,该平台使用的AI账户恢复助手存在逻辑漏洞,黑客可以直接与AI账户恢复助手对话要求重置特定账户的密码并将绑定邮箱修改到黑客控制的邮箱,整个过程AI账户恢复助手不会要求发起者进行任何验证。
黑灰产团伙主要瞄准高价值的Instagram账户,这些账户使用的用户ID通常非常短,黑客通过劫持这些账号并转售获得超过100万美元的非法收益,被安全研究员曝光后Meta发布消息称已经修复漏洞,并且正在处理被盗的账户。
修复方法是在前端界面隐藏AI助手:
在Meta称已经修复漏洞后仍然有用户账户被盗,就连Meta自己的产品管理总监EstherCrawford(曾任X/Twitter产品管理总监)的Instagram账号都被黑客盗取,为什么会发生这种问题呢?因为Meta压根没有修复漏洞,只是简单的将AI账户恢复助手从前端页面隐藏。
有经验的黑客很容易发现AI账户恢复助手API端点仍然可以访问,所以黑灰产团伙直接搭建Telegram机器人和脚本工具可以通过API与AI账户恢复助手进行交互,这个过程甚至要比从前端界面手动访问更简单,也就是整个操作效率更高,让黑灰产团伙可以以更快的速度盗取更多账户。
整个攻击过程不涉及Meta的数据库、后端服务器或漏洞利用,仅仅只是利用AI账户恢复助手的高权限逻辑问题,即Meta赋予AI账户恢复助手太高的权限,但却没有做好提示词攻击防护,因此黑客可以通过提示词诱导AI账户恢复助手配合黑客重置特定账户的密码和绑定的邮箱。
启用2FA验证也无法避免被盗:
在之前的报道中提到如果用户账户已经绑定2FA验证则无法被盗,因为AI账户恢复助手不能直接绕过2FA保护。不过现在来看情况可能有些区别,在Meta宣布修复后,著名逆向工程师JaneManchunWong的账号也被盗,她的账号本身已经启用2FA验证。
由此来看AI账户恢复助手重置邮箱后或许也能解绑用户已经绑定的2FA验证,通常直接通过邮箱是无法解绑2FA的,估计又是黑客使用某种提示词诱导AI账户恢复助手解绑账户2FA验证,所以现在情况非常混乱,而Meta还未发布任何信息回应这件事。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】