Meta AI 助力黑客攻击，多知名 Instagram 账号被盗，开启 MFA 可防范

Instagram 账号遭黑客攻击

上周末，一些知名的 Instagram 账号遭到黑客攻击，巴拉克·奥巴马的白宫账号最受瞩目。黑客无需费力，Meta 的 AI 客户支持聊天机器人几乎主动交出了这些账号。

黑客攻击流程

据 404 Media 报道，黑客先请求 Meta 的 AI 支持助手聊天机器人更改目标账号关联的电子邮件地址，诱使机器人在无需身份验证的情况下启动密码重置流程。AI 将访问代码发送到黑客邮箱，黑客复制代码到聊天框，促使 AI 显示“重置密码”按钮，进而修改密码控制账号。X 上还有经过编辑的详细操作视频。黑客使用 VPN 伪装位置，AI 很快响应请求，整个过程无需用户邮箱地址或原始密码。

漏洞情况

Instagram 存在漏洞，可利用 Meta AI 重置未开启多因素认证（MFA）的账号密码，不过该漏洞已修复。

受影响账号

此次安全漏洞波及多个账号，包括美妆零售商丝芙兰（Sephora）和美国太空部队上士约翰·本蒂维尼亚（John Bentivegna）的账号。目前不清楚受影响账号总数，但上周末许多用户在 Reddit 和 X 上报告账号被黑，安全研究员简·王（Jane Wong）称自己密码被改，多次从 Instagram 的 iOS 应用程序中被强制退出。

攻击原因

问题几乎完全出在 Meta 由 AI 负责客户支持上。Meta 3 月份做出这一转变，称将为账户问题提供全天候帮助。但因流程由 AI 聊天机器人处理，出现可疑活动时人类无法及时介入，使黑客能实施社会工程学式攻击并多次得手。

漏洞曝光与处理

据《网络安全新闻》（Cybersecurity News）报道，安全研究员 ZachXBT 和 Dark Web Informer 最先公开曝光该漏洞，此前已有多个知名账号被盗。Dark Web Informer 追踪被盗知名账号售卖情况，部分账号打包标价高达 100 万美元。Instagram 发言人安迪·斯通（Andy Stone）称漏洞已修复，404 Media 报道 Meta 正在“保护受影响的账号”，Meta 尚未回应置评请求。

防范措施

这次社会工程学攻击对开启多因素认证的账号无效，这些账号可通过认证应用程序或短信获取验证码。若未开启 MFA 设置，一次性重置代码会发送到指定邮箱，易让黑客得手。保护账号的最佳方法是开启多因素认证，Meta 所有平台都支持该功能，虽不能 100% 保证安全，但比仅依靠密码好，可防范此次攻击。此外，还可采取使用通行密钥（passkeys）、使用私人邮箱等措施加强账号安全。