Meta cho biết khoảng 20.000 tài khoản Instagram có thể đã bị tấn công trong một vụ việc gần đây do lạm dụng công cụ hỗ trợ khôi phục tài khoản bằng trí tuệ nhân tạo.
Tin tặc đã xâm phạm nhiều tài khoản Instagram chỉ bằng cách yêu cầu chatbot của Meta liên kết địa chỉ email của chúng với tài khoản mục tiêu. Điều này cho phép tin tặc đặt lại mật khẩu và chiếm quyền kiểm soát.
Nhiều tài khoản nổi tiếng được cho là đã bị xâm nhập và rao bán trên web đen. Danh sách nạn nhân bao gồm tài khoản Nhà Trắng thời cựu Tổng thống Obama, thương hiệu Sephora và Thượng sĩ trưởng Lực lượng Vũ trụ Mỹ John Bentivegna. Một số tội phạm mạng thậm chí đã chia sẻ video và hướng dẫn chi tiết về cách thực hiện cuộc tấn công.
Instagram gửi email cảnh báo đến người dùng bị ảnh hưởng. Ảnh chụp màn hình. Meta hiện đang báo cáo mức độ ảnh hưởng của sự cố cho các cơ quan chức năng. Cụ thể, hãng thông báo với Văn phòng Tổng chưởng lý bang Maine rằng tổng số cá nhân có khả năng bị ảnh hưởng là 20.225 người.
Tuy nhiên, bà Amber Hannah, Phó tổng cố vấn pháp lý phụ trách phản ứng sự cố của Meta, nhận định con số thực tế có thể nhỏ hơn. Công ty đã thống kê những người dùng bị đặt lại mật khẩu qua công cụ hỗ trợ, không bật xác thực hai yếu tố (2FA) và có khả năng bị tin tặc truy cập. Dù vậy, một số tài khoản trong nhóm này có thể do chính chủ nhân hợp pháp truy cập chứ không phải tin tặc.
Báo cáo của Meta gửi Tổng chưởng lý bang Maine tiết lộ hành vi khai thác công cụ Hỗ trợ Cấp cao (HTS - High Touch Support) được phát hiện vào ngày 31/5.
Công cụ này được thiết kế để giúp người dùng lấy lại quyền truy cập khi bị khóa tài khoản, nhưng tin tặc đã lợi dụng một lỗ hổng để đặt lại mật khẩu Instagram.
"Người dùng có thể yêu cầu hỗ trợ từ HTS và yêu cầu gửi liên kết đặt lại mật khẩu đến email của họ. Bản thân công cụ này hoạt động bình thường; tuy nhiên, do một lỗi trong một luồng mã riêng biệt, hệ thống đã không xác minh chính xác liệu email do người yêu cầu cung cấp có khớp với email liên kết với tài khoản Instagram đó hay không", Meta giải thích.
Hệ quả là khi một cá nhân cung cấp email chưa từng được liên kết, hệ thống đã gửi sai liên kết đặt lại mật khẩu đến email lạ đó thay vì từ chối yêu cầu. Điều này cho phép bên thứ ba trái phép nhận liên kết và đăng nhập nếu chủ tài khoản không bật 2FA.
Meta cho biết chưa rõ liệu thông tin cá nhân lưu trữ trong các tài khoản này có bị truy cập hay không. Tuy nhiên, kẻ tấn công có thể đã lấy được thông tin hồ sơ, email, số điện thoại, ngày sinh, tin nhắn trực tiếp, bài đăng trên mạng xã hội, cùng thông tin về hoạt động và lịch sử tương tác.
Gã khổng lồ mạng xã hội đã vô hiệu hóa công cụ bị lạm dụng và sẽ chỉ mở lại sau khi đảm bảo lỗ hổng đã được vá. Các liên kết đặt lại mật khẩu do lỗ hổng tạo ra đã bị vô hiệu hóa. Các tài khoản bị ảnh hưởng được đưa vào trạm kiểm tra bảo mật bắt buộc và bị buộc đặt lại mật khẩu.
Bà Hannah khẳng định Meta sẽ gửi thông báo sớm nhất có thể tới những người dùng bị ảnh hưởng, khuyên họ kiểm tra cài đặt bảo mật và bật 2FA.
(Theo Security Week)