Instagram 账号遭黑客攻击上周末一些知名的 Instagram 账号遭到黑客攻击巴拉克·奥巴马的白宫账号最受瞩目。黑客无需费力Meta 的 AI 客户支持聊天机器人几乎主动交出了这些账号。黑客攻击流程据 404 Media 报道黑客先请求 Meta 的 AI 支持助手聊天机器人更改目标账号关联的电子邮件地址诱使机器人在无需身份验证的情况下启动密码重置流程。AI 将访问代码发送到黑客邮箱黑客复制代码到聊天框促使 AI 显示“重置密码”按钮进而修改密码控制账号。X 上还有经过编辑的详细操作视频。黑客使用 VPN 伪装位置AI 很快响应请求整个过程无需用户邮箱地址或原始密码。漏洞情况Instagram 存在漏洞可利用 Meta AI 重置未开启多因素认证MFA的账号密码不过该漏洞已修复。受影响账号此次安全漏洞波及多个账号包括美妆零售商丝芙兰Sephora和美国太空部队上士约翰·本蒂维尼亚John Bentivegna的账号。目前不清楚受影响账号总数但上周末许多用户在 Reddit 和 X 上报告账号被黑安全研究员简·王Jane Wong称自己密码被改多次从 Instagram 的 iOS 应用程序中被强制退出。攻击原因问题几乎完全出在 Meta 由 AI 负责客户支持上。Meta 3 月份做出这一转变称将为账户问题提供全天候帮助。但因流程由 AI 聊天机器人处理出现可疑活动时人类无法及时介入使黑客能实施社会工程学式攻击并多次得手。漏洞曝光与处理据《网络安全新闻》Cybersecurity News报道安全研究员 ZachXBT 和 Dark Web Informer 最先公开曝光该漏洞此前已有多个知名账号被盗。Dark Web Informer 追踪被盗知名账号售卖情况部分账号打包标价高达 100 万美元。Instagram 发言人安迪·斯通Andy Stone称漏洞已修复404 Media 报道 Meta 正在“保护受影响的账号”Meta 尚未回应置评请求。防范措施这次社会工程学攻击对开启多因素认证的账号无效这些账号可通过认证应用程序或短信获取验证码。若未开启 MFA 设置一次性重置代码会发送到指定邮箱易让黑客得手。保护账号的最佳方法是开启多因素认证Meta 所有平台都支持该功能虽不能 100% 保证安全但比仅依靠密码好可防范此次攻击。此外还可采取使用通行密钥passkeys、使用私人邮箱等措施加强账号安全。