- BrainTools - https://www.braintools.ru -

Meta* признала и исправила проблему, из-за которой любой мог завладеть чужим аккаунтом в Instagram

Meta* признала и исправила проблему, из-за которой любой мог завладеть чужим аккаунтом в Instagram - 1

Компания Meta* признала и исправила [1] проблему с безопасностью, из-за которой любой мог заставить чат-бота Meta* AI сбросить пароль в чужих аккаунтах Instagram** без двухфакторной аутентификации.

Согласно уведомлению [2] об утечке данных, поданному в Генеральную прокуратуру штата Мэн, компания Meta* сообщила [3] как минимум 20 225 пользователям о том, что их аккаунты были взломаны.

Мошенники воспользовались уязвимостью в чат-боте Meta*, которая позволяла сбросить пароль любой учётной записи, если в ней не была включена двухфакторная аутентификация. Злоумышленники просили чат-бота отправить код подтверждения на адрес подконтрольной электронной почты, в результате чего аферисты получали доступ к аккаунту человека в Instagram**, ко всем связанным аккаунтам, контактам, дате рождения и личным сообщениям.

Meta* подтвердила, что атаки мошенников связаны с «уязвимостью в системе восстановления учётных записей Instagram с помощью искусственного интеллекта», которая была использована для «сброса паролей в аккаунтах пользователей Instagram**».

«Сам инструмент работал исправно. Однако из-за ошибки [4] в отдельном участке кода система не проверяла должным образом, совпадает ли адрес электронной почты, указанный пользователем, запросившим сброс пароля, с адресом электронной почты, привязанным к его аккаунту в Instagram**, — сообщили в Meta*. — В результате, когда пользователь указывал адрес электронной почты, ранее не связанный с учётной записью, система ошибочно отправляла ссылку для сброса пароля на этот адрес, а не отклоняла запрос. Это позволяло неавторизованным третьим лицам получать ссылку для сброса пароля от учётных записей, владельцами которых они не являлись».

Meta* заявила, что на данный момент отключила чат-бота и удалила код, позволявший ему сбрасывать настройки учётных записей пользователей. Компания также проверила [1] других чат-ботов на своих платформах, чтобы предотвратить повторение [5] подобных инцидентов.

Meta Platforms*, а также принадлежащие ей социальные сети Facebook**, WhatsApp** и Instagram**: * — признана экстремистской организацией, её деятельность в России запрещена; ** — запрещены в России.

Автор: darya_kiwi

Источник [6]

Сайт-источник BrainTools: https://www.braintools.ru

Путь до страницы источника: https://www.braintools.ru/article/31401

URLs in this post:

[1] исправила: https://this.weekinsecurity.com/meta-confirms-thousands-of-instagram-accounts-were-hacked-by-abusing-its-ai-chatbot/

[2] уведомлению: https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/686120c8-63be-4e3c-b7ed-466d65b672f5.html?771b4d4d7bf3fcb5991d9fc49a27d085

[3] сообщила: https://habr.com/ru/news/1043504/

[4] ошибки: http://www.braintools.ru/article/4192

[5] повторение: http://www.braintools.ru/article/4012

[6] Источник: https://habr.com/ru/news/1044540/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1044540

www.BrainTools.ru

Rambler's Top100