การใช้ประโยชน์จากการแทรกโค้ดใน AI ของ Meta ช่วยให้สามารถเข้าถึงบัญชี Instagram ได้ แม้จะส่งผลกระทบต่อทำเนียบขาวของ Obama ก็ตาม

รายงานการละเมิดความปลอดภัยที่ร้ายแรงเริ่มแพร่กระจาย บ่งชี้ว่าแฮกเกอร์สามารถหลอกผู้ช่วยปัญญาประดิษฐ์ของ Meta บน Instagram ได้ การหาประโยชน์นี้อนุญาตให้มีการเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาต ช่องโหว่ดังกล่าวจะทำงานได้แม้ว่าจะเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย ทำให้เกิดความกังวลเกี่ยวกับประสิทธิภาพของชั้นการป้องกันที่มีอยู่

ก่อนที่ Meta จะดำเนินการแก้ไขช่องโหว่ ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถควบคุมบัญชีได้เป็นระยะเวลาหลายเดือน ในบรรดาเป้าหมายที่ได้รับการยืนยัน บัญชี Instagram ที่ไม่ใช้งานของ Obama White House มีความโดดเด่น โดยเน้นถึงผลกระทบที่อาจเกิดขึ้นจากการละเมิดดังกล่าวต่อโปรไฟล์ที่มีการมองเห็นสูง ความซับซ้อนของการโจมตีเผยให้เห็นแนวหน้าใหม่ในความท้าทายของการรักษาความปลอดภัยทางไซเบอร์ทางดิจิทัล

รายละเอียดทางเทคนิคของการหาประโยชน์ใน IA Meta

กลไกของการโจมตีเกี่ยวข้องกับชุดขั้นตอนที่ออกแบบมาเพื่อจัดการกับผู้ช่วยปัญญาประดิษฐ์ของ Meta ขั้นแรก ผู้โจมตีใช้ Virtual Private Network (VPN) ที่กำหนดค่าให้ตรงกับตำแหน่งทางภูมิศาสตร์ของบัญชีเป้าหมาย ขั้นตอนนี้มีความสำคัญอย่างยิ่งในการจำลองการเข้าถึงที่ถูกต้องและหลีกเลี่ยงการแจ้งเตือนความปลอดภัยที่เป็นไปได้ตามตำแหน่งทางภูมิศาสตร์ ความแม่นยำในการจำลองต้นกำเนิดของผู้ใช้มีส่วนทำให้วิธีการนี้มีประสิทธิภาพ

จากนั้นข้อความเฉพาะก็ถูกส่งไปยังผู้ช่วย AI การกำหนดข้อความนี้คือหัวใจสำคัญของ “การแทรกโค้ด” ซึ่งออกแบบมาเพื่อหลอกให้ AI ดำเนินการโดยไม่ตั้งใจ ในทางกลับกัน AI ได้ประมวลผลคำสั่งดังกล่าวเป็นคำขอที่ถูกต้องตามกฎหมายในการเปลี่ยนแปลงข้อมูลผู้ใช้ โดยไม่มีการตรวจสอบความถูกต้อง

โดยพื้นฐานแล้วข้อความดังกล่าวขอให้ผู้ช่วยเชื่อมโยงที่อยู่อีเมลใหม่เข้ากับบัญชี ข้อความดังกล่าวประกอบด้วยชื่อผู้ใช้ของบัญชีเป้าหมายและที่อยู่อีเมลของผู้โจมตี รวมถึงคำแนะนำในการรีเซ็ตรหัสที่จะส่งไปยังอีเมลที่เป็นอันตรายนี้ กระบวนการที่เรียบง่ายแต่ชาญฉลาดนี้ใช้ประโยชน์จากข้อบกพร่องเชิงตรรกะในการตีความ AI

ผู้ช่วย AI ตอบสนองต่อคำขอโดยตรงและไม่ลังเล โดยส่งลิงก์รีเซ็ตรหัสผ่านไปยังที่อยู่อีเมลที่ผู้โจมตีให้ไว้ ลิงก์นี้อนุญาตให้ผู้โจมตีรีเซ็ตรหัสผ่านบัญชีและควบคุมได้อย่างเต็มที่ การขาดการตรวจสอบความถูกต้องที่แข็งแกร่งยิ่งขึ้นโดย AI เป็นจุดสำคัญที่ทำให้การละเมิดเกิดขึ้นได้

ลำดับของการโจมตีเพื่อเข้าถึงบัญชี Instagram

วิธีการที่ใช้โดยแฮกเกอร์แสดงให้เห็นถึงความเข้าใจที่ซับซ้อนเกี่ยวกับช่องโหว่ในระบบ AI และโปรโตคอลการกู้คืนบัญชี ประสิทธิผลขึ้นอยู่กับการดำเนินการที่แม่นยำของแต่ละขั้นตอน

ประเด็นสำคัญของลำดับการโจมตีประกอบด้วย:

• การใช้งาน VPN:ผู้โจมตีใช้ VPN เพื่อปกปิดตำแหน่งจริง ทำให้ตรงกับบัญชีที่จะแฮ็ก ซึ่งเพิ่มความน่าเชื่อถือของคำขอภายในระบบ
• ข้อความที่ถูกดัดแปลง:วลีเฉพาะถูกสร้างขึ้นสำหรับผู้ช่วย AI โดยมีคำแนะนำที่ชัดเจนในการลิงก์อีเมลใหม่และส่งรหัสรีเซ็ต
• การรวมหนังสือรับรอง:ข้อความดังกล่าวแทรกชื่อผู้ใช้ของบัญชีเป้าหมายโดยตรง (โดยใช้รูปแบบ @{target_username}) และที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี ({attacker_email})
• AI ส่งรหัส:ผู้ช่วย AI ซึ่งตั้งโปรแกรมไว้เพื่ออำนวยความสะดวกในการกู้คืนบัญชี ประมวลผลคำขอ และส่งลิงก์รีเซ็ตรหัสผ่านไปยังอีเมลของผู้โจมตีโดยตรง เพื่อดำเนินการครอบครองบัญชีให้เสร็จสิ้น

กลยุทธ์นี้เน้นย้ำถึงความสำคัญของกลไกการรักษาความปลอดภัยที่ซับซ้อนมากกว่าการตรวจสอบตำแหน่งทางภูมิศาสตร์แบบธรรมดา โดยเฉพาะอย่างยิ่งเมื่อต้องเข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อน การพึ่งพาการตีความคำสั่งภาษาธรรมชาติของ AI มากเกินไปนั้นแสดงให้เห็นว่าเป็นเวกเตอร์การโจมตี

แฮ็กเข้าสู่บัญชี Obama White House ที่ไม่ได้ใช้งาน

การละเมิดความปลอดภัยไม่ได้จำกัดอยู่เพียงผู้ใช้ทั่วไป เข้าถึงแม้กระทั่งโปรไฟล์สถาบันที่มีชื่อเสียงสูง บัญชี Instagram ของทำเนียบขาวของ Obama ซึ่งเป็นสินทรัพย์ดิจิทัลในอดีต เป็นหนึ่งในเป้าหมายของการใช้ประโยชน์จากการแทรกโค้ด การแฮ็กบัญชีนี้ดึงความสนใจไปที่ขอบเขตและความรุนแรงของช่องโหว่

Leia Tambem

นักดาราศาสตร์อธิบายแสงสีขาวที่บันทึกได้หลังดาวตกใกล้ภูเขาไฟในฟิลิปปินส์

นักแสดงตลกซากาโมโตะจังเผยการหายจากโรคเบาหวานประเภท 2 หลังการเปลี่ยนแปลงวิถีชีวิต

Avi Loeb กล่าวว่าการค้นพบข่าวกรองของมนุษย์ต่างดาวสามารถรวมมนุษยชาติเข้าด้วยกันท่ามกลางวิกฤตการณ์ระดับโลก

เพจดังกล่าวไม่ได้ใช้งานตั้งแต่วันที่ 20 มกราคม 2017 ซึ่งเป็นวันเข้ารับตำแหน่งประธานาธิบดีโดนัลด์ ทรัมป์ ในขณะนั้น หลายปีที่ผ่านมาไม่มีการโพสต์ใหม่หรือกิจกรรมที่ชัดเจน ทำให้เป็นเป้าหมายที่อาจไม่ได้รับการติดตามอย่างต่อเนื่อง การไม่ใช้งานเป็นเวลานานนี้อาจเป็นปัจจัยที่เอื้อต่อการกระทำของแฮกเกอร์เมื่อเวลาผ่านไป

ผู้โจมตีใช้ประโยชน์จากการเข้าถึงเพื่อโพสต์ภาพที่ผิดปกติไปยังบัญชี ภาพดังกล่าวมีข้อความยั่วยุว่า “ทำเนียบขาวอยู่ภายใต้การควบคุมของชาวชีอะห์” เอกสารเผยแพร่นี้ไม่เพียงแต่ยืนยันการบุกรุกเท่านั้น แต่ยังแสดงให้เห็นถึงความตั้งใจของแฮกเกอร์ในการถ่ายทอดข้อความทางการเมืองผ่านช่องทางที่มีความเกี่ยวข้องสูง ลักษณะของเนื้อหาที่โพสต์เพิ่มผลกระทบของข่าว

การใช้โปรไฟล์ที่สำคัญดังกล่าวเพื่อเผยแพร่ข้อความทางการเมืองเน้นย้ำถึงความล้มเหลวที่แตกสาขาออกไป นอกเหนือจากการเข้าถึงที่ไม่เหมาะสมแล้ว ความสามารถในการยุ่งเกี่ยวกับเนื้อหาของบัญชีสาธารณะที่มีประวัติสถาบันยังแสดงให้เห็นถึงพลังของการแสวงหาผลประโยชน์ ความน่าเชื่อถือของแพลตฟอร์มดิจิทัลถูกทำลายลงอย่างรุนแรงจากเหตุการณ์ดังกล่าว

ผลกระทบของความล้มเหลวก่อนการแก้ไขประตู

ความล้มเหลวก่อนการแก้ไขโดย Meta ทำให้เกิดคำถามสำคัญเกี่ยวกับความปลอดภัยของข้อมูลและความแข็งแกร่งของผู้ช่วยปัญญาประดิษฐ์ ความสามารถของช่องโหว่เพื่อให้สามารถควบคุมบัญชีได้เป็นเวลาหลายเดือน ตามที่รายงานแนะนำ บ่งชี้ว่ามีการละเมิดอย่างต่อเนื่องซึ่งยากต่อการตรวจจับ ระยะเวลาการสัมผัสที่ยาวนานทำให้ผู้ใช้มีความเสี่ยงเพิ่มขึ้น

การเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยซึ่งเป็นหนึ่งในวิธีการป้องกันบัญชีหลักนั้นไม่เพียงพอที่จะหยุดการโจมตีได้ สิ่งนี้ชี้ให้เห็นว่าช่องโหว่นั้นอยู่ในชั้นพื้นฐานของระบบความปลอดภัย ก่อนที่จะมีการสแกนปัจจัยที่สอง ความไว้วางใจของผู้ใช้ในทรัพยากรนี้ถูกทำลายโดยตรงจากการไม่มีประสิทธิภาพเมื่อเผชิญกับการโจมตี

เหตุการณ์ที่เกิดขึ้นในบัญชีของทำเนียบขาวของโอบามาเป็นตัวอย่างความเสี่ยงของการให้ข้อมูลที่ไม่ถูกต้องและการบิดเบือนการเล่าเรื่อง การเผยแพร่ข้อความทางการเมืองในโปรไฟล์ที่เชื่อมโยงกับสถาบันประธานาธิบดีสหรัฐอเมริกาในอดีตอาจส่งผลกระทบร้ายแรงหากไม่ได้รับการระบุและแก้ไขอย่างรวดเร็ว ความสมบูรณ์ของข้อมูลออนไลน์ถูกโจมตีอย่างต่อเนื่องจากการโจมตีดังกล่าว

ในการแก้ไขข้อบกพร่อง Meta ต้องเผชิญกับความท้าทายในการฟื้นฟูความไว้วางใจของผู้ใช้ในระบบ AI และระบบรักษาความปลอดภัย ความจำเป็นในการตรวจสอบและปรับปรุงอัลกอริธึมปัญญาประดิษฐ์อย่างต่อเนื่องได้กลายเป็นที่ประจักษ์ชัด การรักษาความปลอดภัยทางไซเบอร์จำเป็นต้องมีการเฝ้าระวังอย่างต่อเนื่องและความสามารถในการปรับตัวต่อการโจมตีรูปแบบใหม่ที่ใช้ประโยชน์จากเทคโนโลยีที่เกิดขึ้นใหม่

ตอนนี้ทำหน้าที่เป็นเครื่องเตือนใจว่าแม้แต่เทคโนโลยีที่ล้ำหน้าที่สุด เช่น ปัญญาประดิษฐ์ ก็อาจมีช่องโหว่ที่สามารถใช้ประโยชน์ได้ ปฏิสัมพันธ์ระหว่างมนุษย์กับ AI ในสภาพแวดล้อมที่มีความสำคัญด้านความปลอดภัยจะต้องได้รับการออกแบบอย่างเข้มงวด โดยคำนึงถึงช่องทางที่เป็นไปได้ทั้งหมดสำหรับการยักย้าย การปกป้องข้อมูลและความเป็นส่วนตัวของผู้ใช้ยังคงเป็นเรื่องสำคัญที่ไม่สามารถเจรจาต่อรองได้