Эксплойт внедрения кода в ИИ Meta предоставляет доступ к учетным записям Instagram, что затрагивает даже Белый дом Обамы

Начали распространяться сообщения о серьезном нарушении безопасности, указывающие на то, что хакерам удалось обмануть помощника Меты по искусственному интеллекту в Instagram. Этот эксплойт позволил получить несанкционированный доступ к учетным записям пользователей. Уязвимость сработала бы даже при включенной двухфакторной аутентификации, что вызывает опасения по поводу эффективности существующих уровней защиты.

До того, как Meta исправила уязвимость, эксплойт якобы позволял злоумышленникам получать контроль над учетными записями на периоды, длившиеся несколько месяцев. Среди подтвержденных целей выделяется неактивный аккаунт Белого дома Обамы в Instagram, что подчеркивает потенциальное влияние таких взломов на популярные профили. Сложность атаки открывает новый фронт проблем цифровой кибербезопасности.

Технические подробности эксплойта в IA Meta

Механика атаки включала в себя ряд шагов, направленных на манипулирование помощником Меты по искусственному интеллекту. Сначала злоумышленник использовал виртуальную частную сеть (VPN), настроенную в соответствии с географическим местоположением целевой учетной записи. Этот шаг имел решающее значение для имитации законного доступа и обхода возможных предупреждений безопасности на основе геолокации. Точность имитации происхождения пользователя способствовала эффективности метода.

Затем ИИ-помощнику было отправлено конкретное сообщение. Формулировка этого сообщения стала центральным элементом «инъекции кода», призванной обманом заставить ИИ совершить непреднамеренное действие. ИИ, в свою очередь, воспринял команду как легитимный запрос на изменение пользовательских данных без должной проверки.

По сути, в сообщении помощнику предлагалось привязать к учетной записи новый адрес электронной почты. Текст включал имя пользователя целевой учетной записи и адрес электронной почты злоумышленника, а также инструкцию по отправке кода сброса на это вредоносное электронное письмо. В этом простом, но гениальном процессе использовалась логическая ошибка в интерпретации ИИ.

AI-помощник ответил на запрос прямо и без колебаний, отправив ссылку для сброса пароля на адрес электронной почты, предоставленный злоумышленником. Эта ссылка позволила злоумышленнику сбросить пароль учетной записи и, как следствие, получить полный контроль. Отсутствие более надежной проверки со стороны ИИ стало критическим моментом, сделавшим взлом возможным.

Последовательность атаки на доступ к аккаунтам Instagram

Метод, используемый хакерами, демонстрирует глубокое понимание уязвимостей в системах искусственного интеллекта и протоколах восстановления учетных записей. Эффективность зависела от точного выполнения каждого шага.

Ключевые моменты последовательности атаки включали:

• Использование VPN:Злоумышленники использовали VPN, чтобы замаскировать свое реальное местоположение, совместив его с местоположением взломанной учетной записи, что повысило достоверность запроса в системе.
• Манипулируемое сообщение:Для ИИ-помощника была создана конкретная фраза, содержащая четкие инструкции по привязке нового письма и отправке кода сброса.
• Включение учетных данных:В сообщении напрямую вставлялось имя пользователя целевой учетной записи (в формате @{target_username}) и адрес электронной почты, контролируемый злоумышленником ({attacker_email}).
• Код отправки AI:Помощник ИИ, запрограммированный для облегчения восстановления учетной записи, обработал запрос и отправил ссылку для сброса пароля непосредственно на электронную почту злоумышленника, завершив захват учетной записи.

Эта стратегия подчеркнула важность более сложных механизмов безопасности, чем простая проверка геолокации, особенно когда речь идет о доступе к конфиденциальной информации пользователя. Было показано, что чрезмерная зависимость от интерпретации ИИ команд естественного языка является вектором атаки.

Взлом неактивного аккаунта Обамы в Белом доме

Нарушение безопасности не ограничивалось обычными пользователями и достигло даже высокопоставленных институциональных профилей. Инстаграм-аккаунт Белого дома Обамы, исторический цифровой актив, стал одной из целей внедрения кода. Взлом этой конкретной учетной записи привлек внимание к широте и серьезности уязвимости.

Leia Tambem

Ударные волны от умирающих звезд создают звездные питомники в форме колес космических повозок

Проект «Сварог» и другие испытания показывают потенциал и ограничения солнечных парусов в космосе

Исследование Имперского колледжа указывает на появление солнечных парусов на краю Солнечной системы через 10 или 20 лет

Страница, о которой идет речь, была неактивна с 20 января 2017 года, даты инаугурации тогдашнего президента Дональда Трампа. В течение многих лет не было новых должностей или очевидной активности, что делало эту цель объектом постоянного мониторинга. Это длительное бездействие могло со временем стать фактором, облегчившим действия хакеров.

Злоумышленники воспользовались доступом и разместили в аккаунте необычное изображение. Изображение сопровождалось провокационной подписью: «Белый дом находится под контролем шиитов». Эта публикация не только подтвердила факт вторжения, но и продемонстрировала намерение хакеров передавать политические сообщения по весьма актуальному каналу. Характер публикуемого контента увеличил влияние новостей.

Использование столь значимого профиля для распространения политического послания подчеркнуло возможные последствия провала. В дополнение к несанкционированному доступу, возможность подделать содержимое общедоступной учетной записи с институциональной историей продемонстрировала силу эксплойта. Подобные инциденты серьезно подрывают доверие к цифровым платформам.

Последствия неудачи до коррекции цели

Неудача до ее исправления со стороны Meta выявила важные вопросы о безопасности данных и надежности помощников искусственного интеллекта. Способность эксплойта обеспечивать контроль учетных записей в течение нескольких месяцев, как следует из отчетов, указывает на постоянное нарушение, которое трудно обнаружить. Длительная продолжительность воздействия усиливала риски для пользователей.

Включение двухфакторной аутентификации — одного из основных методов защиты аккаунта — оказалось недостаточным для предотвращения атак. Это говорит о том, что уязвимость находилась на фундаментальном уровне системы безопасности до второго факторного сканирования. Доверие пользователей к этому ресурсу было напрямую подорвано его неэффективностью перед лицом эксплойта.

Инцидент с аккаунтом Обамы в Белом доме продемонстрировал риск дезинформации и манипулирования повествованием. Публикация политического послания в профиле, исторически связанном с институтом президента США, может иметь серьезные последствия, если оно не будет быстро выявлено и исправлено. Целостность онлайн-информации постоянно подвергается сомнению в результате подобных атак.

При исправлении уязвимости Meta столкнулась с проблемой восстановления доверия пользователей к ее системам искусственного интеллекта и безопасности. Необходимость постоянного пересмотра и совершенствования алгоритмов искусственного интеллекта стала очевидной. Кибербезопасность требует постоянной бдительности и способности адаптироваться к новым формам атак, использующих новые технологии.

Этот эпизод служит напоминанием о том, что даже самые передовые технологии, такие как искусственный интеллект, могут иметь уязвимости, которые можно использовать. Взаимодействие между людьми и ИИ в критически важных для безопасности средах должно быть тщательно спроектировано с учетом всех возможных способов манипулирования. Защита данных и конфиденциальность пользователей остаются непреложными приоритетами.