Nhiều tài khoản Instagram lớn, bao gồm tài khoản của Nhà Trắng thời cựu Tổng thống Barack Obama và Trưởng cố vấn Lực lượng Vũ trụ Mỹ, đã bị tấn công và thay đổi giao diện bằng các hình ảnh, thông điệp ủng hộ Iran vào cuối tuần qua.
Sự cố xảy ra sau khi các hướng dẫn đánh lừa công cụ trợ lý AI của Meta để đặt lại mật khẩu tài khoản bắt đầu lan truyền trên Telegram.
Theo các thông tin chia sẻ trên Telegram ngày 31/5, chatbot AI của Meta đã tự động thêm địa chỉ email mới vào tài khoản hiện có như một phần của quy trình đặt lại mật khẩu tiêu chuẩn.
Video do nhóm tin tặc đăng tải cho thấy một phương thức khai thác lỗ hổng tương đối đơn giản.
Kẻ tấn công sử dụng kết nối mạng riêng ảo VPN có địa chỉ IP trùng hoặc gần với vị trí quen thuộc của mục tiêu, yêu cầu đặt lại mật khẩu và chọn tính năng trò chuyện với trợ lý AI.
Tại đây, tin tặc yêu cầu chatbot liên kết tài khoản với email mới. Hệ thống sau đó đã gửi mã xác thực một lần để tin tặc đổi mật khẩu.
Bằng cách này, nhóm hacker đã chiếm quyền điều khiển hàng loạt tài khoản có tên người dùng ngắn và giá trị cao, ước tính có giá trị chuyển nhượng hơn 500.000 USD trên thị trường chợ đen.
Jane Wong, một chuyên gia an ninh mạng, cũng bị chiếm quyền tài khoản Instagram. Bà cho biết mật khẩu bị đổi mà không hề hay biết và phát hiện nhiều nỗ lực cài lại mật khẩu khác nhau trong một ngày.
Đại diện Meta, ông Andy Stone thông báo trên nền tảng X rằng sự cố đã được khắc phục và các tài khoản bị ảnh hưởng đang được bảo mật.
Các nguồn tin an ninh mạng tiết lộ Meta đã tung ra một bản vá lỗi khẩn cấp trong cuối tuần và khẳng định không có cơ sở dữ liệu hệ thống nào bị xâm nhập.
Trước đó, Meta đã triển khai lớp AI hội thoại này trên toàn cầu từ đầu năm nay để thay thế cho hệ thống hỗ trợ bằng con người vốn thường bị quá tải.
Công cụ được thiết kế để tự động xử lý các yêu cầu như báo cáo lừa đảo, giả mạo hoặc đặt lại mật khẩu nhằm giảm phiền hà cho người dùng.
Tuy nhiên, các chuyên gia bảo mật cảnh báo việc cho phép chatbot AI xử lý các yêu cầu khôi phục tài khoản nhạy cảm đang tạo ra một bề mặt tấn công mới nguy hiểm.
Tương tự như nhân viên hỗ trợ là con người, các chatbot AI rất dễ bị thao túng và đánh lừa bằng các kỹ thuật thao túng tâm lý.
Để bảo vệ tài khoản, người dùng được khuyến cáo kích hoạt tính năng xác thực nhiều yếu tố (MFA - bảo mật đa lớp).
Nhóm tin tặc thừa nhận lỗ hổng này hoàn toàn bất lực trước những tài khoản đã bật tính năng xác thực nâng cao hoặc mã xác thực một lần qua SMS.
(Theo 404 Media, The Guardian)
