وفي وقت سابق، كشف باحثون أمنيون أن تطبيق إنستغرام، المملوك لمجموعة وسائل التواصل الاجتماعي ميتا، يعاني من مشكلات أمنية كبيرة. يحتوي مساعد استرداد حساب الذكاء الاصطناعي الذي تستخدمه المنصة على ثغرة منطقية. يمكن للمتسللين التحدث مباشرة إلى مساعد استرداد حساب الذكاء الاصطناعي لطلب إعادة تعيين كلمة المرور لحساب معين وتغيير عنوان البريد الإلكتروني المقيد إلى عنوان بريد إلكتروني يتحكم فيه المتسلل. خلال العملية برمتها، لن يتطلب مساعد استرداد الحساب بالذكاء الاصطناعي أي تحقق من البادئ.
تستهدف العصابات السوداء والرمادية بشكل أساسي حسابات Instagram عالية القيمة. عادةً ما تكون معرفات المستخدم التي تستخدمها هذه الحسابات قصيرة جدًا. حقق المتسللون مكاسب غير قانونية تزيد عن مليون دولار عن طريق الاستيلاء على هذه الحسابات وإعادة بيعها. وبعد أن كشفها باحثون أمنيون، أصدرت Meta رسالة تفيد بأنها أصلحت الثغرة الأمنية وتقوم بمعالجة الحسابات المسروقة.
الإصلاح هو إخفاء مساعد الذكاء الاصطناعي في الواجهة الأمامية:
وحتى بعد أن أعلنت شركة Meta أنها أصلحت الثغرة الأمنية، لا تزال حسابات المستخدمين تتعرض للسرقة. حتى مديرة إدارة المنتجات في شركة Meta، إستر كروفورد (المديرة السابقة لإدارة المنتجات في X/Twitter)، تعرضت لسرقة حسابها على Instagram من قبل المتسللين. لماذا حدثت هذه المشكلة؟ ونظرًا لأن Meta لم تقم بإصلاح الثغرة الأمنية على الإطلاق، فقد قامت ببساطة بإخفاء مساعد استرداد حساب الذكاء الاصطناعي من الصفحة الأمامية.
يمكن للمتسللين ذوي الخبرة أن يجدوا بسهولة أن نقطة نهاية API لمساعد استرداد حساب الذكاء الاصطناعي لا تزال متاحة، لذلك تقوم فرق الإنتاج باللونين الأسود والرمادي ببناء روبوتات Telegram وأدوات البرامج النصية مباشرةً للتفاعل مع مساعد استرداد حساب الذكاء الاصطناعي من خلال واجهة برمجة التطبيقات. هذه العملية أبسط من الوصول اليدوي من الواجهة الأمامية، مما يعني أن العملية بأكملها أكثر كفاءة، مما يسمح لعصابات الإنتاج السوداء والرمادية بسرقة المزيد من الحسابات بشكل أسرع.
لا تتضمن عملية الهجوم بأكملها قاعدة بيانات Meta أو الخادم الخلفي أو استغلال الثغرات الأمنية. إنه يستغل فقط مشكلة منطق الامتيازات العالية لمساعد استرداد حساب الذكاء الاصطناعي. وهذا يعني أن Meta تمنح AI Account Recovery Assistant أذونات عالية جدًا، ولكنها لا تحمي من الهجمات الفورية. لذلك، يمكن للمتسللين استخدام كلمات سريعة لحث AI Account Recovery Assistant على التعاون مع المتسلل لإعادة تعيين كلمة المرور لحساب معين وعنوان البريد الإلكتروني المقيد.
تمكين التحقق 2FA لا يمنع السرقة:
وقد ذكر في التقارير السابقة أنه إذا تم ربط حساب المستخدم بالتحقق 2FA، فلا يمكن سرقته لأن مساعد استرداد حساب الذكاء الاصطناعي لا يمكنه تجاوز حماية 2FA مباشرة. ومع ذلك، قد يكون الوضع مختلفا بعض الشيء الآن. بعد أن أعلنت Meta عن الإصلاح، تمت سرقة حساب المهندسة العكسية الشهيرة Jane Manchun Wong أيضًا، وكان حسابها نفسه قد أتاح التحقق عبر المصادقة الثنائية (2FA).
من وجهة النظر هذه، قد يتمكن AI Account Recovery Assistant من إلغاء ربط التحقق 2FA الذي ربطه المستخدم بعد إعادة تعيين البريد الإلكتروني. عادةً، يكون من المستحيل إلغاء ربط المصادقة الثنائية مباشرة عبر البريد الإلكتروني. تشير التقديرات إلى أن المتسللين استخدموا نوعًا من الكلمات السريعة لحث مساعد استرداد حساب الذكاء الاصطناعي على إلغاء التحقق من المصادقة الثنائية للحساب، وبالتالي فإن الوضع الحالي مربك للغاية، ولم تصدر Meta أي معلومات للرد على هذا الأمر.