Meta 客服漏洞害 2 万 IG 遭殃 连奥巴马帐号都被一键劫持
近日有人发现 Meta AI 帐号复原助手存在严重安全漏洞。攻击者可欺骗 AI 聊天机械人,要求 Instagram 将密码重设码发送至任意电邮地址,从而绕过身份验证接管帐号。同一时期,美国太空军最高士官长及奥巴马白宫 Instagram 帐号相继遭入侵。入侵者疑似与伊朗有关。
疑似伊朗黑客攻击目标
今次事件涉及多个高知名度帐号。开源情报帐号 OSINT Technical 披露,美国太空军最高士官长 (Chief Master Sergeant) Instagram 帐号疑遭伊朗人入侵,并发布异常帖文。奥巴马白宫存档帐号 @obamawhitehouse 亦失守,帐号出现多篇异常帖文,包括一张 AI 生成图片,配上「白宫已在什叶派控制之下」字句,亦有涉及伊朗将领苏莱曼尼相关内容。其后 Meta 确认已夺回帐号控制权并删除相关帖文。该帐号上一次正式发文为 2017 年 1 月 20 日特朗普就职典礼当天,闲置接近 9 年。攻击者同时瞄准短用户名称高价值帐号,例如 @hey 及 @jowo,部分帐号在地下市场估值逾 100 万美元,并透过私人 Telegram 频道迅速转手。
漏洞运作原理
今次漏洞并非传统意义伺服器入侵,原文出自 unwire.hk, 而是源于 Meta AI 逻辑层设计缺陷。攻击者透过 VPN 切换至目标用户帐号所在地区后,直接与 Meta AI 帐号复原助手对话,要求系统将密码重设码发送至攻击者自行指定电邮地址,整个过程完全绕过身份验证。问题核心在于 AI 处理帐号复原请求时,缺乏速率限制及验证执行机制,令任何知道目标用户名称人士均能发动攻击。安全研究员 ZachXBT 及 Dark Web Informer 最早公开披露此漏洞。
Meta 在事件曝光后发表声明:「我们修复了一个让外部人士可为部分 Instagram 用户请求密码重设电邮问题,我们系统从未遭入侵,用户 Instagram 帐号依然安全。」事件令外界严重质疑 AI 客服工具安全架构。因为 AI 助手一旦获得帐号管理功能深层存取权限,便成为社会工程攻击重大弱点。已启用双重验证 (2FA) 帐号在今次攻击中未受影响。
保护帐号建议做法
安全专家建议用户采取以下措施加强帐号保护:
• 启用应用程式版双重验证(例如 Google Authenticator 或 Authy),而非 SMS 验证
• 使用未公开与 Instagram 帐号关联专用电邮地址
• 避免在不同平台重复使用相同密码,并使用密码管理器
• 定期在 Instagram 安全设定中检查登入活动
• 妥善备份紧急复原码
【免责声明】
《风采》网站欢迎读者/网民留言,创造友好交流空间;唯网民留言皆不代表本网站立场。本网站有权删除任何人身攻击、鼓吹种族宗教隔阂、诽谤造谣、网络霸凌等煽动性留言。
想要买《风采》,网购最方便!
👉 https://s.lazada.com.my/s.xqJTn (西马)
👉 https://s.lazada.com.my/s.xqJ58 (东马)
👉 https://my.shp.ee/urmN2pCX (西马)
👉 https://my.shp.ee/K9R1Es9m (东马)
👉订阅《风采》纸本杂志: https://shop.enanyang.my/product/feminine/