Sztuczna inteligencja Meta oddała hakerom konto Białego Domu na Instagramie

Meta zbudowała asystenta wsparcia opartego na sztucznej inteligencji, żeby przejął żmudną pracę przy odzyskiwaniu kont, a w ciągu jednego weekendu użytkownicy odkryli, że można go namówić do oddania cudzych kont. Wystarczyło poprosić chatbota o dodanie nowego adresu e-mail do wybranego konta na Instagramie, a potem zażądać zmiany hasła, by napastnicy przejmowali profile, które do nich nie należały, w tym chronione uwierzytelnianiem dwuskładnikowym. Narzędzie, które miało przywracać dostęp do zablokowanego konta, stało się najszybszą drogą do zamknięcia drzwi przed prawowitym właścicielem.

Metoda była niemal obraźliwie prosta. Napastnik najpierw używał VPN, żeby jego połączenie wyglądało, jakby pochodziło z okolicy ofiary, ponieważ proces wsparcia Meta traktował lokalizację jako sygnał zaufania. Następnie otwierał czat z asystentem i prosił o przypisanie do atakowanego konta adresu e-mail, który sam kontrolował. Bot wysyłał kod weryfikacyjny na ten nowy adres, napastnik wklejał kod z powrotem do rozmowy, a asystent w odpowiedzi pokazywał przycisk resetu hasła. Jedno nowe hasło później konto zmieniało właściciela.

To, co odróżnia ten przypadek od zwykłego włamania, polega na tym, że tak naprawdę niczego nie sforsowano. Nie było złośliwego oprogramowania, wycieku bazy danych z hasłami ani fałszywej strony udającej ekran logowania. Pracę wykonało własne narzędzie wsparcia platformy, wykonując polecenia dokładnie tak, jak je sformułowano. Napastnik nie pokonał zabezpieczeń Instagrama, tylko grzecznie poprosił je, żeby się usunęły, i posłuchały.

To właśnie ta sekwencja sprawia, że incydent dotyczy każdego, kto ma login do Instagrama. Uwierzytelnianie dwuskładnikowe, zabezpieczenie, które eksperci od dekady każą włączać, na nic się tu nie zdało. Napastnik nigdy nie potrzebował hasła ofiary, jej telefonu ani kodu z aplikacji uwierzytelniającej, ponieważ to sam agent AI mógł zresetować hasło. Kiedy system wsparcia potrafi obejść wszystkie inne zamki w drzwiach, zamki przestają się liczyć.

Konta, które przyciągnęły najwięcej uwagi, należały do osób i instytucji wysokiej rangi. Wśród nich było konto na Instagramie powiązane z Białym Domem z czasów Obamy, nieaktywne od 2017 roku, oraz konto Johna Bentivegny, najstarszego stopniem podoficera Sił Kosmicznych USA. Badaczka bezpieczeństwa Jane Wong, znana z rozkładania kodu aplikacji na części, patrzyła, jak traci własne konto. Hasło zmieniono bez jej wiedzy, opowiadała, a przez cały dzień przychodziły próby resetu, podczas gdy aplikacja wciąż ją wylogowywała. Zwykli użytkownicy opisywali to samo, choć Meta nie podała, ilu ich było.

Ten epizod to mniej błąd w linijce kodu, a bardziej pytanie o to, co tym agentom wolno robić. Meta na początku roku rozszerzyła wsparcie napędzane przez AI i pozwoliła asystentowi obsługiwać zmiany haseł oraz problemy z kontem, które wcześniej wymagały człowieka albo sztywnego formularza. Oddanie modelowi konwersacyjnemu władzy nad odzyskiwaniem kont zlikwidowało tarcie dla prawdziwych użytkowników i, jak się okazało, dla wszystkich pozostałych również. Człowiek z obsługi być może zawahałby się, gdy obcy prosi o zmianę adresu e-mail konta. Bot po prostu wykonał otrzymany scenariusz.

Meta twierdzi, że dziura jest załatana, ale kilka rzeczy powinno ostudzić ulgę. Firma nie ujawniła, ile kont przejęto przed poprawką, co pozostawia ofiary bez jasnego obrazu szkód. Według 404 Media technika krążyła na Telegramie od marca, więc drzwi mogły stać otworem przez tygodnie, zanim sprawa wyszła na jaw. A leżący u podstaw projekt, zaufanie do sygnału lokalizacji, który VPN potrafi sfałszować, i do pętli e-mailowej w pełni kontrolowanej przez napastnika, wskazuje na model weryfikacji wątły od samego początku.

Badacze bezpieczeństwa od jakiegoś czasu ostrzegają, że agenci AI podłączeni do działających systemów otwierają nową powierzchnię ataku, w której exploitem nie jest wadliwy kod, lecz przekonująca prośba. To jeden z pierwszych przypadków na dużą skalę, który dowodzi tego na codziennych kontach konsumenckich, a nie na laboratoryjnym pokazie. Manipulacja nie wymagała żadnych umiejętności technicznych. Wymagała wiedzy o tym, co powiedzieć, wobec systemu zbudowanego tak, by najpierw być pomocnym, a dopiero potem podejrzliwym.

Na razie praktyczna rada jest mało efektowna. Kto zauważył w weekend nieoczekiwane wiadomości o resecie hasła albo nagłe wylogowania, powinien sprawdzić, jakie adresy e-mail i numery telefonu są powiązane z kontem, i usunąć wszystko, czego nie rozpoznaje. Uwierzytelnianie dwuskładnikowe wciąż warto trzymać włączone ze względu na wiele ataków, które naprawdę zatrzymuje, nawet jeśli w tym nie miało znaczenia.

Rzecznik Instagrama Andy Stone potwierdził w poniedziałek, że problem został naprawiony, a firma zabezpiecza dotknięte konta. Czego Meta nie poruszyła, to szersze pytanie projektowe, które jej własne wdrożenie postawiło tej wiosny: ile władzy zautomatyzowany agent powinien mieć nad kontami miliardów ludzi i co powstrzyma kolejną rozmowę przed takim samym zakończeniem.

Tagi: cyberbezpieczeństwo, meta, przejęcie konta