事件概述
Meta 正在通知数千名用户,其 Instagram 账户在长达数月的 AI 聊天机器人滥用事件中被黑客劫持——攻击者反复诱骗该机器人接管用户账户。
根据 Meta 向缅因州总检察长办公室提交的数据泄露通知函,该公司首次披露了此次长期黑客攻击活动波及的具体人数:至少 20,225 人的账户被入侵,其中包括 30 名缅因州用户。
攻击方式
攻击者成功接管了受害者的整个 Instagram 账户及任何关联账户,获取了联系方式、出生日期和个人资料信息,还能访问用户的帖子、私信和账户活动记录。
Meta 的通报确认此次事件与"Instagram 的 AI 辅助账户恢复系统存在漏洞"有关,该漏洞被利用来"对 Instagram 用户账户执行密码重置"。
技术细节
正如此前报道,黑客利用了 Meta 聊天机器人的一个缺陷:任何未开启双重认证的账户,攻击者只需向机器人提出请求,就能重置密码。这个漏洞诱骗聊天机器人将验证码发送到黑客控制的邮箱,而非账户持有人备案的邮箱地址。
Meta 解释:"该工具本身运行正常,但由于另一条代码路径存在 bug,系统未正确验证请求密码重置者提供的邮箱地址是否与账户关联的邮箱一致。"
影响范围与应对
攻击始于 4 月 17 日前后,持续到本周 Meta 修复聊天机器人。Meta 已暂时禁用该 AI 聊天机器人,移除了允许重置账户的代码路径,并正在检查其他平台聊天机器人以防重演。
Meta 表示"不清楚"哪些个人信息被访问,但已指示受影响用户重置密码并通过安全渠道重新认证。
