黑客利用Meta的AI聊天机器人劫持超过20,000个Instagram账户

# 黑客可能利用Meta的AI聊天机器人劫持了超过2万个Instagram账户 来源：https://www.theverge.com/tech/945658/meta-ai-support-chatbot-exploit-instagram-accounts Emma Roth (https://www.theverge.com/authors/emma-roth) Emma Roth 是一位新闻撰稿人，报道流媒体战争、消费科技、加密货币、社交媒体等领域。此前，她曾在 MUO 担任撰稿人和编辑。 黑客很可能利用Meta的AI支持聊天机器人控制了20,225个Instagram账户，该公司在向缅因州提交的一份通知（https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/686120c8-63be-4e3c-b7ed-466d65b672f5.html）中确认了此事。在该通知中（该通知最早由 *Bleeping Computer*（https://www.bleepingcomputer.com/news/security/meta-ai-support-data-breach-affects-20-000-instagram-accounts/）发现），Meta将此次漏洞归咎于一个“bug”，该漏洞允许攻击者（https://www.theverge.com/tech/941179/meta-instagram-ai-support-chatbot-exploit-hacked）仅通过向聊天机器人请求重置密码，就能在无需双重认证的情况下劫持账户： > 该工具本身运行正常并按预期工作；然而，由于另一处代码路径中的错误，系统未能正确验证请求重置密码的用户所提供的电子邮件地址是否与该用户Instagram账户关联的电子邮件地址一致。结果，当用户提供之前未关联该账户的电子邮件地址时，系统错误地将密码重置链接发送到了该未关联的邮箱，而不是拒绝请求。这使得未授权的第三方能够收到他们并不拥有的账户的密码重置链接。 Meta表示，此次攻击最早出现在5月31日，Meta通讯主管Andy Stone称公司（https://x.com/andymstone/status/2061486724199379186?s=20）已于6月1日“解决”了这一事件。在此期间，多个高知名度的Instagram账户受到影响（https://www.theverge.com/tech/940926/obamas-old-instagram-account-was-reportedly-hacked-over-the-weekend），包括前总统巴拉克·奥巴马的白宫旧账户、美国太空军首席军士长John F. Bentivegna以及丝芙兰。在通知中，Meta补充说，它“不清楚”是否有任何个人数据因该漏洞而被访问，但指出账户劫持者可能获取了电子邮件地址、电话号码、出生日期、社交媒体帖子、私信、个人资料信息、账户活动以及关联账户。 通知称，受影响用户中有30人居住在缅因州。这个数字指的是“通过支持工具重置密码、未在账户上启用双重认证、且其Instagram账户可能被未授权方访问的用户”——但Meta表示这是“上限”，因为其中一些账户可能是被合法访问的。 该公司表示，它已禁用AI支持工具并移除了有问题的代码路径，同时使所有利用该漏洞生成的密码重置链接失效。它还将所有可能受影响的账户纳入“强制安全检查点，要求在访问账户前进行身份验证。” **关注本文的主题和作者**，即可在个性化首页推送中查看更多类似内容，并接收电子邮件更新。 - Emma Roth