20 ezer Instagram-fiókot törhettek fel az AI-asszisztenssel

Pár napja mi is írtunk arról, hogy a Meta fiókhelyreállítást támogató AI-asszisztensében megbújó hibát kihasználva rosszindulatú felek könnyedén átvehették az irányítást gyakorlatilag bárki Instagram-fiókja felett, még a kétfaktoros azonosítás ellenére is. Így történhetett meg, hogy ellopták többek közt Barack Obama volt amerikai elnök régi fehér házi, és a korábban Metánál dolgozó Jane Manchun Wong accountjait is.

A Meta eddig meglehetősen szerényen kommunikált az esetről, és azt sem lehetett tudni, milyen kiterjedtségben érintette a felhasználókat a hiba kihasználása. A maine-i főügyészségnek benyújtott tájékoztatóban már konkrét számot is közöl a cég, mely szerint összesen 20 225 Instagram-fiókot téríthettek el ilyen módon rosszindulatú felek, de a tényleges szám kisebb lehet.

A cég álláspontja szerint az AI-eszköz megfelelően működött, de egy hiba miatt a rendszer nem ellenőrizte megfelelően, hogy a jelszó-visszaállítást kérő személy által megadott e-mail cím megegyezik-e a felhasználó Instagram-fiókjához társított címmel. Ennek eredményeként fordulhatott elő, hogy a rendszer helytelenül küldött jelszó-visszaállító linket a nem társított e-mail címre a kérés elutasítása helyett jogosulatlan felek számára.

A Meta még nem tudja biztosan megállapítani, hogy a támadók hozzáfértek-e a feltört fiókokban tárolt személyes adatokhoz, a cég kommunikációja óvatosan úgy fogalmaz, hogy potenciálisan „megszerezhettek profiladatokat, e-mail címeket, telefonszámokat, születési dátumokat, privát üzeneteket, bejegyzéseket, valamint a fiókaktivitásra és az interakciós előzményekre vonatkozó információkat" - áll a hivatalosan benyújtott dokumentumban.

A globális szoftverfejlesztői közösség egyik legismertebb szerzője, a The Pragmatic Engineer hírlevelet író Orosz Gergő nemrég első kézből származó információkat osztott meg velünk a botrányosan aggasztó üggyel kapcsolatban a HWSW Kraftie 82. adásában, amit itt hallgathatsz meg.