Meta确认数千Instagram账户因AI聊天机器人漏洞遭黑客攻击

Meta证实数千个Instagram账户因滥用其AI聊天机器人而遭到黑客攻击。Meta正在通知数千名Instagram账户被劫持的用户，这些劫持事件发生在该公司AI聊天机器人被滥用的数月期间，黑客多次诱骗该机器人控制他人账户。

在本周安全杂志看到的一封新数据泄露通知信中，Meta首次透露了作为长期黑客活动的一部分，有多少人的账户被劫持。该活动于本周早些时候被发现，并由404 Media和TechCrunch首次报道。

受影响的账户数量在一定程度上揭示了这场黑客活动的广泛程度及其持续时间。根据周五晚间向缅因州总检察长办公室提交的数据泄露通知，Meta通知了至少20225人其账户已被泄露，其中包括缅因州的30人。

通知中写道，这些漏洞允许黑客接管该人的整个Instagram账户及任何关联账户，包括获取联系信息、出生日期和个人资料信息，以及访问该人的帖子、直接消息和账户活动的能力。

Meta的通知证实，此次漏洞与“Instagram AI辅助账户恢复系统中的漏洞”有关，该漏洞被利用来“对Instagram用户账户执行密码重置”。

正如之前报道的那样，黑客滥用了Meta聊天机器人中的一个缺陷，该缺陷允许任何人重置任何未开启双重身份验证的账户的密码。该漏洞欺骗聊天机器人向黑客控制的电子邮件地址发送验证码，而不是向账户持有者档案中的电子邮件地址发送验证码，只需通过询问即可实现。

聊天机器人仍然照做了。Meta在其违规通知中表示：“该工具本身正常工作并按预期运行；但由于单独代码路径中的错误，系统没有正确验证请求密码重置的个人提供的电子邮件地址是否与该用户的Instagram账户关联的电子邮件地址匹配。

”“因此，当个人提供之前未与该账户关联的电子邮件地址时，系统错误地向该未关联的电子邮件发送了密码重置链接，而不是拒绝该请求。这允许未经授权的第三方接收他们不拥有的账户的密码重置链接，”该公司补充道。

Meta表示，此时黑客可以重置某人的密码并接管其账户，就像他们是合法所有者一样。~本周安全~是我每周的网络安全通讯，由像您这样的读者支持。请考虑订阅每月10美元起的付费订阅，以获取独家文章、分析等。

或者，您可以提交一次性打赏以表达您的支持！

Meta表示，它“不知道”黑客攻击期间访问了哪些个人信息（如果有的话）。（截至周六早些时候，发给Meta新闻热线的一封电子邮件未得到回复。）根据缅因州的列表，黑客攻击大约开始于4月17日，一直持续到本周，当时Meta表示它已经保护了聊天机器人。

据报道，Instagram本周早些时候开始通过发送密码重置通知来通知受影响的个人，尽管一些人报告黑客攻击仍在进行中。Meta还在通知中证实，它提醒用户保护其账户安全，称其“指示受影响的用户重置密码并通过安全、经过验证的渠道重新验证。

”Meta表示，目前已禁用该AI聊天机器人，并删除了允许聊天机器人重置用户账户的代码路径，并表示还在检查其平台上的其他聊天机器人，以防止再次发生类似事件。

目前尚不清楚是什么情况导致了聊天机器人被滥用，但此事发生在Meta解雇数千名员工并通过股票激励奖励高管之后不久，因为该公司继续加大对AI的投入。非常感谢您阅读~本周安全~。如果您喜欢这篇文章，请分享！

欢迎就本文提出任何反馈、问题或评论，请联系：this@weekinsecurity.com。