Lỗ hổng bảo mật Instagram: Hacker lừa chatbot AI của Meta để chiếm đoạt tài khoản

Lỗ hổng bảo mật Instagram: Hacker lừa chatbot AI của Meta để chiếm đoạt tài khoản

Instagram đã khắc phục một lỗ hổng bảo mật nghiêm trọng cho phép nhiều tài khoản người dùng bị đánh cắp. Cuộc tấn công này dường như dựa vào việc lừa gạt chatbot hỗ trợ được tích hợp AI của chính Meta để cấp quyền truy cập vào tài khoản của nạn nhân.

Trong cuối tuần vừa qua, nhiều người dùng trên Reddit đã khẳng định tài khoản Instagram của họ bị xâm phạm, trong khi một số người dùng khác trên nền tảng X (trước đây là Twitter) cũng cảnh báo về tình trạng chiếm đoạt tài khoản tương tự. Trong số các tài khoản bị ảnh hưởng có tài khoản Instagram của Nhà Trắng thời kỳ chính quyền Obama (dường như không hoạt động kể từ năm 2017) và tài khoản của John Bentinvegna - Thượng sĩ trưởng của Lực lượng Vũ trụ Hoa Kỳ.

Nhà nghiên cứu bảo mật Jane Wong cũng cho biết tài khoản Instagram của bà đã bị chiếm quyền kiểm soát.

"Mật khẩu đã bị thay đổi mà không hay biết, và tôi liên tục nhận được các yêu cầu đặt lại mật khẩu trong suốt ngày hôm qua," bà Wong chia sẻ. "Điều này thực sự đáng báo động."

Một đoạn video được đăng trên X đã cho thấy quy trình từng bước để hack tài khoản Instagram của ai đó. Theo đó, tin tặc được cho là đã sử dụng VPN để giả lập vị trí địa lý của mục tiêu nhằm tránh kích hoạt các biện pháp bảo vệ tài khoản tự động của Instagram. Sau đó, hacker mở một cuộc trò chuyện với Trợ lý Hỗ trợ AI của Meta (Meta AI Support Assistant) và yêu cầu bot thêm một địa chỉ email mới vào tài khoản của nạn nhân.

Trong video có thể thấy chatbot gửi mã xác minh đến địa chỉ email do hacker cung cấp; sau đó, tin tặc chia sẻ mã xác minh này lại với chatbot. Điều này khiến chatbot hiển thị nút "Đặt lại mật khẩu" (Reset Password). Khi hacker nhập mật khẩu mới, họ đã chính thức chiếm đoạt được tài khoản của nạn nhân.

TechCrunch đã xác minh rằng hộp thư email công khai của hacker, được hiển thị trong video, thực sự đã nhận được mã xác minh đó.

Điểm mấu chốt của cuộc tấn công này là tin tặc hoàn toàn không cần chiếm đoạt địa chỉ email hợp pháp được liên kết với tài khoản Instagram của nạn nhân.

Vào thứ Hai, người phát ngôn của Instagram, ông Andy Stone, đã trả lời trên bài đăng của Wong và những người dùng khác rằng vấn đề này hiện đã được khắc phục. Tuy nhiên, vẫn chưa rõ có bao nhiêu người dùng Instagram đã bị truy cập tài khoản trái phép thông qua lỗ hổng này.

Meta chưa đưa ra phản hồi ngay lập tức trước yêu cầu bình luận của TechCrunch.