چت‌بات پشتیبانی هوش مصنوعی متا راه نفوذ هکر‌ها به حساب‌های اینستاگرام را باز کرد

بر اساس گزارش‌های منتشرشده ابزار پشتیبانی مبتنی بر هوش مصنوعی شرکت Meta که با هدف تسهیل و تسریع فرآیند بازیابی حساب‌های کاربری فیس‌بوک و اینستاگرام طراحی شده بود به یک آسیب‌پذیری جدی امنیتی تبدیل شد و به هکر‌ها امکان داد کنترل برخی حساب‌های اینستاگرام را حتی در صورت فعال بودن احراز هویت دومرحله‌ای (۲FA) در اختیار بگیرند.

به گزارش انگجت، متا در دسامبر گذشته از دستیار هوش مصنوعی جدید خود برای پشتیبانی کاربران رونمایی کرده بود. این شرکت وعده داده بود که کاربران قفل‌شده از حساب‌های خود بتوانند با سرعت و سهولت بیشتری به حساب‌هایشان دسترسی مجدد پیدا کنند، اما اکنون مشخص شده است که همین قابلیت به ابزاری برای سوءاستفاده مهاجمان سایبری تبدیل شده است.

نحوه سوءاستفاده هکر‌ها

به گفته پژوهشگران امنیتی هکر‌ها توانسته بودند با استفاده از چت‌بات پشتیبانی هوش مصنوعی متا درخواست تغییر آدرس ایمیل مرتبط با یک حساب اینستاگرام را ثبت کنند و سپس از طریق فرآیند بازنشانی رمز عبور کنترل حساب را در دست بگیرند.

جزئیات این روش هک طی روز‌های اخیر توسط چندین محقق امنیتی در شبکه اجتماعی ایکس (X) افشا شد. همچنین تصاویر ویدئو‌ها و آموزش‌های مربوط به این حملات به‌طور گسترده در کانال‌های تلگرامی منتشر شده بود و کاربران مختلف درباره نحوه اجرای این سوءاستفاده تبادل اطلاعات می‌کردند.

متا آسیب‌پذیری را برطرف کرد

پس از انتشار گزارش‌ها متا اعلام کرد این مشکل امنیتی برطرف شده است. اندی استون، معاون ارتباطات شرکت متا در واکنش به گزارش‌های منتشرشده در ایکس نوشت: این مشکل برطرف شده و ما در حال ایمن‌سازی حساب‌هایی هستیم که تحت تاثیر قرار گرفته‌اند. با این حال متا هنوز اعلام نکرده چه تعداد حساب کاربری پیش از رفع نقص امنیتی مورد نفوذ قرار گرفته‌اند.

نقش موقعیت مکانی در حمله

بررسی‌ها نشان می‌دهد چت‌بات پشتیبانی متا برای تایید هویت کاربران تا حدی به موقعیت جغرافیایی آنها متکی بوده است. مهاجمان با استفاده از شبکه‌های خصوصی مجازی (VPN) می‌توانستند موقعیت مکانی خود را با موقعیت جغرافیایی صاحب اصلی حساب مطابقت دهند و بدین ترتیب سامانه پشتیبانی را فریب دهند.

متا در زمان معرفی این سرویس اعلام کرده بود که سیستم‌های این شرکت دستگاه‌های مورد استفاده معمول کاربران و مکان‌های آشنای آنها را بهتر از گذشته تشخیص می‌دهند. به نظر می‌رسد همین مکانیزم احراز هویت به یکی از نقاط ضعف اصلی این سامانه تبدیل شده باشد.

احتمال ارتباط با موج هک حساب‌های مشهور

اگرچه هنوز تعداد دقیق قربانیان مشخص نیست اما زمان افشای این آسیب‌پذیری با موجی از هک حساب‌های شناخته‌شده در اینستاگرام هم‌زمان شده است. از جمله حساب‌هایی که احتمال می‌رود قربانی این نقص امنیتی شده باشند حساب رسمی کاخ سفید دوران ریاست‌جمهوری Barack Obama است. این حساب که از سال ۲۰۱۷ فعالیتی نداشت اخیرا تصویری تولیدشده توسط هوش مصنوعی منتشر کرد که حاوی پیام سیاسی جنجالی بود.
همچنین گزارش‌هایی درباره نفوذ احتمالی به حساب‌های متعلق به شرکت لوازم آرایشی Sephora و یکی از مقامات ارشد نیروی فضایی ایالات متحده منتشر شده است. با این حال هنوز مشخص نیست تمامی این حملات مستقیما با همین آسیب‌پذیری مرتبط بوده‌اند یا خیر.

نگرانی‌های جدید درباره امنیت ابزار‌های هوش مصنوعی

این رخداد بار دیگر نگرانی‌ها درباره استفاده گسترده از هوش مصنوعی در فرآیند‌های حساس امنیتی و احراز هویت کاربران را افزایش داده است. کارشناسان معتقدند هرچند هوش مصنوعی می‌تواند خدمات پشتیبانی را سریع‌تر و کارآمدتر کند، اما در صورت طراحی نادرست یا اتکای بیش از حد به معیار‌های قابل جعل مانند موقعیت مکانی ممکن است به نقطه‌ای برای نفوذ مهاجمان تبدیل شود.

متا تاکنون جزئیات فنی بیشتری درباره علت اصلی این نقص امنیتی یا تعداد دقیق حساب‌های آسیب‌دیده منتشر نکرده است.