इससे पहले, सुरक्षा शोधकर्ताओं ने खुलासा किया था कि सोशल मीडिया समूह मेटा के स्वामित्व वाले इंस्टाग्राम में प्रमुख सुरक्षा मुद्दे हैं। प्लेटफ़ॉर्म द्वारा उपयोग किए जाने वाले AI खाता पुनर्प्राप्ति सहायक में एक तर्क भेद्यता है। हैकर्स किसी विशिष्ट खाते का पासवर्ड रीसेट करने और बाध्य ईमेल पते को हैकर द्वारा नियंत्रित ईमेल पते में बदलने का अनुरोध करने के लिए सीधे एआई खाता पुनर्प्राप्ति सहायक से बात कर सकते हैं। पूरी प्रक्रिया के दौरान, एआई खाता पुनर्प्राप्ति सहायक को आरंभकर्ता से किसी सत्यापन की आवश्यकता नहीं होगी।
काले और भूरे गिरोह मुख्य रूप से उच्च-मूल्य वाले इंस्टाग्राम खातों को लक्षित करते हैं। इन खातों द्वारा उपयोग की जाने वाली उपयोगकर्ता आईडी आमतौर पर बहुत छोटी होती हैं। हैकर्स ने इन खातों को हाईजैक करके और उन्हें दोबारा बेचकर 1 मिलियन डॉलर से अधिक का अवैध लाभ कमाया है। सुरक्षा शोधकर्ताओं द्वारा उजागर किए जाने के बाद, मेटा ने एक संदेश जारी कर कहा कि उसने भेद्यता को ठीक कर लिया है और चोरी हुए खातों पर कार्रवाई कर रहा है।
फिक्स एआई असिस्टेंट को फ्रंट-एंड इंटरफ़ेस में छिपाना है:
मेटा द्वारा यह कहने के बाद भी कि उसने भेद्यता ठीक कर दी है, उपयोगकर्ता खाते अभी भी चोरी हो रहे थे। यहां तक कि मेटा के स्वयं के उत्पाद प्रबंधन निदेशक, एस्थर क्रॉफर्ड (एक्स/ट्विटर में उत्पाद प्रबंधन के पूर्व निदेशक) का इंस्टाग्राम अकाउंट भी हैकर्स द्वारा चुरा लिया गया था। यह समस्या क्यों हुई? चूँकि मेटा ने भेद्यता को बिल्कुल भी ठीक नहीं किया, इसने केवल AI खाता पुनर्प्राप्ति सहायक को फ्रंट-एंड पेज से छिपा दिया।
अनुभवी हैकर आसानी से पता लगा सकते हैं कि एआई अकाउंट रिकवरी असिस्टेंट एपीआई एंडपॉइंट अभी भी पहुंच योग्य है, इसलिए ब्लैक और ग्रे प्रोडक्शन गिरोह एपीआई के माध्यम से एआई अकाउंट रिकवरी असिस्टेंट के साथ बातचीत करने के लिए सीधे टेलीग्राम रोबोट और स्क्रिप्ट टूल बनाते हैं। यह प्रक्रिया फ्रंट-एंड इंटरफ़ेस से मैन्युअल एक्सेस से भी सरल है, जिसका अर्थ है कि संपूर्ण ऑपरेशन अधिक कुशल है, जिससे ब्लैक और ग्रे प्रोडक्शन गिरोह तेजी से अधिक खाते चुरा सकते हैं।
संपूर्ण हमले की प्रक्रिया में मेटा का डेटाबेस, बैक-एंड सर्वर या भेद्यता शोषण शामिल नहीं है। यह सिर्फ एआई अकाउंट रिकवरी असिस्टेंट की उच्च-विशेषाधिकार प्राप्त तर्क समस्या का फायदा उठाता है। यानी, मेटा एआई अकाउंट रिकवरी असिस्टेंट को बहुत अधिक अनुमति देता है, लेकिन त्वरित शब्द हमलों से सुरक्षा नहीं देता है। इसलिए, हैकर्स एआई अकाउंट रिकवरी असिस्टेंट को किसी विशिष्ट खाते के पासवर्ड और बाउंड ईमेल पते को रीसेट करने के लिए हैकर के साथ सहयोग करने के लिए प्रेरित करने के लिए त्वरित शब्दों का उपयोग कर सकते हैं।
2FA सत्यापन सक्षम करने से चोरी नहीं रुकती:
पिछली रिपोर्ट्स में बताया गया था कि अगर यूजर अकाउंट 2FA वेरिफिकेशन से बंधा हुआ है तो उसे चोरी नहीं किया जा सकता क्योंकि AI अकाउंट रिकवरी असिस्टेंट सीधे 2FA प्रोटेक्शन को बायपास नहीं कर सकता है। हालाँकि, अब स्थिति कुछ अलग हो सकती है। मेटा द्वारा समाधान की घोषणा के बाद, प्रसिद्ध रिवर्स इंजीनियर जेन मनचुन वोंग का खाता भी चोरी हो गया था, और उनके खाते ने स्वयं 2FA सत्यापन सक्षम कर दिया था।
इस दृष्टिकोण से, AI खाता पुनर्प्राप्ति सहायक 2FA सत्यापन को अनबाइंड करने में सक्षम हो सकता है जिसे उपयोगकर्ता ने ईमेल रीसेट करने के बाद बाध्य किया है। आमतौर पर, 2FA को सीधे ईमेल के माध्यम से अनबाइंड करना असंभव है। यह अनुमान लगाया गया है कि हैकर्स ने एआई अकाउंट रिकवरी असिस्टेंट को खाते के 2एफए सत्यापन को अनबाइंड करने के लिए प्रेरित करने के लिए कुछ प्रकार के त्वरित शब्दों का इस्तेमाल किया है, इसलिए वर्तमान स्थिति बहुत भ्रमित करने वाली है, और मेटा ने इस मामले पर प्रतिक्रिया देने के लिए कोई जानकारी जारी नहीं की है।