Instagram cảnh báo người dùng bị hacker nhắm mục tiêu trong cuộc tấn công qua chatbot AI

Chiến dịch hacker quy mô lớn dựa vào việc đơn giản là yêu cầu Meta AI hỗ trợ chiếm đoạt tài khoản Instagram dường như vẫn tiếp diễn, bất chấp tuyên bố của công ty rằng vấn đề đã được giải quyết. Trong khi đó, Meta đang gấp rút bảo mật các tài khoản bị nhắm mục tiêu và cảnh báo các nạn nhân.

Cuối tuần qua, nhiều hacker đã tuyên bố khai thác lỗ hổng trong chatbot hỗ trợ của Meta để chiếm đoạt một số tài khoản Instagram có tầm ảnh hưởng lớn. Đồng thời, rất nhiều người dùng đã phàn nàn trên mạng xã hội rằng tài khoản Instagram của họ bị hack, bao gồm cả những tên người dùng (handle) ngắn gọn và độc đáo.

TechCrunch đã ghi nhận các ví dụ về các tài khoản bị hack có tên người dùng là các tên phổ thông hoặc tên quốc gia. Những tài khoản này có thể được bán lại như một loại hàng sưu tầm trên thị trường xám, thường được gọi là "OG handles". Các nạn nhân khác trong đợt tấn công này dường như bao gồm cả tài khoản Nhà Trắng thời Obama (dù Meta đã phủ nhận) và tài khoản của John Bentivegna, Thượng sĩ trưởng của Lực lượng Vũ trụ Mỹ.

Ảnh chụp màn hình cho thấy một cuộc chiếm đoạt tài khoản thành công được đăng trong nhóm Telegram

Các cuộc tấn công này đơn giản đến mức gọi chúng là "hack" có thể là đang tâng bốc quá mức những kẻ đứng sau nó, đồng thời không chỉ trích đủ trách Meta vì đã không ngăn chặn các cuộc tấn công sơ đẳng này chiếm đoạt tài khoản của người dùng.

Kỹ thuật mà hacker sử dụng cực kỳ đơn giản: họ chỉ cần nói với chatbot AI của Meta rằng họ là chủ sở hữu của tài khoản mục tiêu và yêu cầu bot liên kết tài khoản đó với một email do hacker kiểm soát. Chatbot đã tuân thủ yêu cầu này, cho phép hacker đặt lại mật khẩu của tài khoản mục tiêu và chiếm quyền kiểm soát — trong một số trường hợp còn khóa quyền truy cập của nạn nhân ra khỏi tài khoản. Trong quá trình này, hoàn toàn không có nhân viên hay nhà thầu nào của Meta tham gia vào cuộc trò chuyện.

Vào thứ Hai, người phát ngôn của Meta, Andy Stone, cho biết "vấn đề đã xảy ra đã được khắc phục". Tuy nhiên, đến thứ Ba, nhiều người dùng Instagram khác vẫn tiếp tục tuyên bố tài khoản của họ bị hack.

Đồng thời, TechCrunch đã thấy các cuộc thảo luận giữa các thành viên của một kênh Telegram nơi kỹ thuật hack này được công bố, với những người này tuyên bố vẫn có thể khai thác chatbot AI của Meta. Họ thậm chí còn quảng cáo bán các tài khoản bị hack rõ ràng là do kỹ thuật này gây ra vào thời điểm TechCrunch viết bài này. (Tuy nhiên, cần lưu ý rằng rất khó để xác nhận chắc chắn liệu tất cả các tài khoản này có bị hack do cùng một kỹ thuật hay không).

Trong một bài đăng sau đó trên nền tảng X, Stone cho biết: "Một số người có thể nhận được thông báo đặt lại mật khẩu và một số có thể bị hỏi câu hỏi bảo mật khi họ cố gắng đăng nhập vào tài khoản".

Stone cho biết trong email gửi TechCrunch rằng Meta đã bảo mật các tài khoản bị ảnh hưởng vào thứ Hai, sau đó bắt đầu gửi email đặt lại mật khẩu. Khi được TechCrunch hỏi, Stone từ chối tiết lộ chính xác bao nhiêu người dùng đã bị hack.

Ví dụ về email được gửi đến nạn nhân của chiến dịch hacker

Một số người dùng đã báo cáo rằng Meta đã bắt đầu gửi thông báo cho họ biết họ đang bị nhắm mục tiêu. Các nạn nhân công khai cho biết họ đã nhận được email từ Instagram cảnh báo rằng công ty đã "phát hiện một số hoạt động đáng ngờ cho thấy Instagram của bạn có thể đã bị xâm phạm". Thông báo cũng cho biết công ty đã thực hiện các biện pháp để bảo mật tài khoản và yêu cầu người dùng đặt lại mật khẩu.

Như trang 404 Media đã lưu ý, Meta đã thông báo vào tháng 3 rằng họ đang triển khai AI để tự động hóa việc hỗ trợ người dùng, khẳng định chatbot được hỗ trợ bởi AI này được "thiết kế để giải quyết các vấn đề về tài khoản từ đầu đến cuối" và có khả năng "đặt lại mật khẩu của bạn một cách an toàn". Điều này cho thấy chatbot có thể thực hiện các hành động quan trọng mà trước đây có thể yêu cầu sự can thiệp của con người.

Trong nhiều năm qua, đã tồn tại một thị trường sôi động nơi hacker đánh cắp và sau đó bán các tên người dùng "OG" — tức là những tên đăng ký đầu tiên trên Instagram. Trước đây, việc chiếm đoạt các tài khoản này đòi hỏi các chiến lược phức tạp hơn như lừa đảo (phishing), chiếm đoạt số điện thoại (SIM swapping) hoặc hối lộ nhân viên nội bộ tại các nhà cung cấp viễn thông.

Tuy nhiên, trong trường hợp này, hacker chỉ cần hỏi, và chatbot của Meta đã ngoan ngoãn tuân thủ.