Meta* признала и исправила проблему, из-за которой любой мог завладеть чужим аккаунтом в Instagram. instagram.. instagram. meta.. instagram. meta. аккаунты.. instagram. meta. аккаунты. взлом.. instagram. meta. аккаунты. взлом. Информационная безопасность.. instagram. meta. аккаунты. взлом. Информационная безопасность. мошенники.. instagram. meta. аккаунты. взлом. Информационная безопасность. мошенники. социальные сети.. instagram. meta. аккаунты. взлом. Информационная безопасность. мошенники. социальные сети. соцсети.. instagram. meta. аккаунты. взлом. Информационная безопасность. мошенники. социальные сети. соцсети. Управление продуктом.

Meta* признала и исправила проблему, из-за которой любой мог завладеть чужим аккаунтом в Instagram - 1

Компания Meta* признала и исправила проблему с безопасностью, из-за которой любой мог заставить чат-бота Meta* AI сбросить пароль в чужих аккаунтах Instagram** без двухфакторной аутентификации.

Согласно уведомлению об утечке данных, поданному в Генеральную прокуратуру штата Мэн, компания Meta* сообщила как минимум 20 225 пользователям о том, что их аккаунты были взломаны.

Мошенники воспользовались уязвимостью в чат-боте Meta*, которая позволяла сбросить пароль любой учётной записи, если в ней не была включена двухфакторная аутентификация. Злоумышленники просили чат-бота отправить код подтверждения на адрес подконтрольной электронной почты, в результате чего аферисты получали доступ к аккаунту человека в Instagram**, ко всем связанным аккаунтам, контактам, дате рождения и личным сообщениям.

Meta* подтвердила, что атаки мошенников связаны с «уязвимостью в системе восстановления учётных записей Instagram с помощью искусственного интеллекта», которая была использована для «сброса паролей в аккаунтах пользователей Instagram**».

«Сам инструмент работал исправно. Однако из-за ошибки в отдельном участке кода система не проверяла должным образом, совпадает ли адрес электронной почты, указанный пользователем, запросившим сброс пароля, с адресом электронной почты, привязанным к его аккаунту в Instagram**, — сообщили в Meta*. — В результате, когда пользователь указывал адрес электронной почты, ранее не связанный с учётной записью, система ошибочно отправляла ссылку для сброса пароля на этот адрес, а не отклоняла запрос. Это позволяло неавторизованным третьим лицам получать ссылку для сброса пароля от учётных записей, владельцами которых они не являлись».

Meta* заявила, что на данный момент отключила чат-бота и удалила код, позволявший ему сбрасывать настройки учётных записей пользователей. Компания также проверила других чат-ботов на своих платформах, чтобы предотвратить повторение подобных инцидентов.

Meta Platforms*, а также принадлежащие ей социальные сети Facebook**, WhatsApp** и Instagram**: * — признана экстремистской организацией, её деятельность в России запрещена; ** — запрещены в России.

Автор: darya_kiwi

Источник

Версия для печати Версия для печати