„Meta“ atskleidė, kad 20 225 „Instagram“ vartotojų paskyros buvo užgrobtos per neseniai įvykusį incidentą, kai užpuolikai slaptažodžiams iš naujo nustatyti naudojo „Meta“ AI palaikomą palaikymo sistemą.
Kaip prieš savaitę pranešė „BleepingComputer“, grėsmės veikėjai pasinaudojo bendrovės „High Touch Support“ (HTS) įrankio – dirbtiniu intelektu remiamos palaikymo sistemos, kuri padeda vartotojams atgauti prieigą prie „Instagram“ paskyrų – trūkumu.
Išnaudodami faktą, kad HTS nepatikrino, ar el. pašto adresai buvo susieti su tikslinėmis „Instagram“ paskyromis, jie gavo slaptažodžio nustatymo iš naujo nuorodas, leidžiančias prisijungti ir užgrobti paskyras be įjungto dviejų veiksnių autentifikavimo (2FA).
„Vartotojai gali prašyti HTS palaikymo ir, vykdydami šį procesą, gali paprašyti, kad jų el. pašto adresu būtų atsiųsta slaptažodžio nustatymo iš naujo nuoroda. Pats įrankis veikė tinkamai ir veikė taip, kaip numatyta; tačiau dėl atskiro kodo kelio klaidos sistema tinkamai nepatikrino, ar asmens, prašančio iš naujo nustatyti slaptažodį, pateiktas el. pašto adresas sutampa su el. pašto adresu, susietu su to vartotojo Instagram paskyra“, – sakė generalinis advokatas Metaunsselnnah. laiškas dėl duomenų pažeidimo, neseniai pateiktas Meino generalinei prokuratūrai.
„Todėl asmeniui pateikus el. pašto adresą, kuris anksčiau nebuvo susietas su paskyra, sistema neteisingai išsiuntė slaptažodžio nustatymo iš naujo nuorodą į tą nesusietą el. laišką, o ne atmetė užklausą. Tai leido neįgaliotoms trečiosioms šalims gauti slaptažodžio nustatymo iš naujo nuorodą paskyroms, kurių joms nepriklauso. Nustačius slaptažodį iš naujo, neįgaliotas asmuo galėjo prisijungti prie paskyros, jei nebuvo įjungta paskyra (FA-2).
Po to, kai daugybė vartotojų pranešimų apie šias atakas pasiekė socialinės žiniasklaidos platformas, Andy Stone, Meta komunikacijos viceprezidentas, atsakė vienam iš paveiktų vartotojų, pareiškęs, kad „problema išspręsta ir mes apsaugome paveiktas paskyras“.
Praėjusią savaitę „BleepingComputer“ taip pat susisiekė su „Meta“, kad pakomentuotų šį saugumo pažeidimą, tačiau mes dar negirdėjome.
„Rašome norėdami pranešti, kad „Instagram“ paskyros atkūrimo palaikymo įrankio pažeidžiamumas buvo panaudotas siekiant potencialiai pažeisti 30 jūsų jurisdikcijoje esančių vartotojų „Instagram“ paskyras. Visos paskyros buvo apsaugotos, kad būtų išvengta tolesnės neteisėtos prieigos“, – pridūrė Hannah. „2026 m. gegužės 31 d. „Meta“ aptiko, kad „Instagram“ paskyrų atkūrimo sistemoje su dirbtiniu intelektu yra pažeidžiamumas („High Touch Support“ arba „HTS“), kurį išnaudojo neteisėtos trečiosios šalys, kad iš naujo nustatytų „Instagram“ vartotojų paskyrų slaptažodį.
Nors Meta laiške apie pažeidimą nenurodė, kada atakos prasidėjo, Meino OAG svetainėje pateiktame dokumente teigiama, kad pažeidimas įvyko balandžio 17 d., greičiausiai pirmosios atakos, išnaudojančios HTS trūkumą, data.
Bendrovė teigia neturinti informacijos apie tai, kokia asmeninė informacija galėjo būti pasiekta ar pavogta iš pažeistų paskyrų, tačiau pažymėjo, kad užpuolikai galėjo gauti prieigą prie paveiktų „Instagram“ vartotojų kontaktinės informacijos (el. pašto adreso ir (arba) telefono numerio), gimimo datų, socialinių tinklų įrašų ir turinio (nuotraukų, vaizdo įrašų, istorijų), tiesioginių pranešimų ir komunikacijų, paskyros veiklos ir sąveikos istorijos, profilio informacijos (taip pat susietos profilio nuotraukos).
Aptikusi incidentą, bendrovė išjungė HTS AI palaikomą palaikymo sistemą ir visas sugeneruotas slaptažodžio nustatymo iš naujo nuorodas, siekdama užtikrinti, kad visi būsimi tos pačios kenkėjiškos kampanijos užgrobimo bandymai būtų užblokuoti.
Ji taip pat įtraukė visas galimai pavogtas paskyras į privalomą saugos patikrą ir paprašė visų paveiktų vartotojų iš naujo nustatyti slaptažodžius ir iš naujo autentifikuoti, kad apsaugotų ir atgautų pažeistų paskyrų kontrolę.
„Prieš iš naujo paleisdama įrankį, Meta sutvarkys autentifikavimo patikrinimą Instagram atkūrimo įvesties taške, kad užtikrintų tinkamą el. pašto adresų patikrinimą pagal esamą paskyros informaciją prieš pradedant bet kokį slaptažodžio nustatymą iš naujo“, – pridūrė Meta. „Be to, „Meta“ atlieka išsamią panašių paskyros atkūrimo srautų „Meta“ platformose peržiūrą, kad nustatytų ir pašalintų galimas problemas.
Prieš šį incidentą Airija taip pat skyrė Metai 264 mln. USD baudą už 2018 m. duomenų pažeidimą, dėl kurio buvo atskleisti daugiau nei 29 mln.
2022 metų lapkritį „Meta“ taip pat buvo nubausta 265 mln. eurų (275,5 mln. USD) bauda už tai, kad ji neapsaugo „Facebook“ vartotojų duomenų nuo grandiklių, o dar 91 mln.
Apsaugos komandos registruoja 54% sėkmingų atakų ir įspėja tik apie 14%. Likusieji juda per jūsų aplinką nematyti.
„Picus“ informaciniame dokumente parodyta, kaip pažeidimo ir atakos modeliavimas tikrina jūsų SIEM ir EDR taisykles, kad aptiktos grėsmės nustotų slysti.
Gaukite baltą lapą
