Lỗ hổng chatbot AI của Meta khiến hơn 20.000 tài khoản Instagram bị chiếm đoạt

Lỗ hổng chatbot AI của Meta khiến hơn 20.000 tài khoản Instagram bị chiếm đoạt

Meta vừa xác nhận một lỗ hổng nghiêm trọng trong hệ thống chatbot AI hỗ trợ khôi phục tài khoản đã bị tin tặc khai thác, dẫn đến việc hơn 20.000 tài khoản Instagram bị chiếm đoạt. Lỗi này cho phép kẻ tấn công đặt lại mật khẩu của người dùng mà không cần xác thực đúng email, đặc biệt nhắm vào các tài khoản chưa bật xác thực hai yếu tố (2FA).

Meta xác nhận quy mô vụ tấn công

Trong một thông báo vi phạm dữ liệu mới gửi đến văn phòng Tổng chưởng lý bang Maine (Mỹ), Meta lần đầu tiên tiết lộ con số chính xác về người ảnh hưởng trong chiến dịch hack kéo dài nhiều tháng này. Theo đó, ít nhất 20.225 người đã nhận được thông báo rằng tài khoản của họ đã bị xâm phạm, trong đó có 30 cư dân tại Maine.

Minh họa về lỗ hổng bảo mật liên quan đến AI của Meta

Vụ việc này cho thấy quy mô rộng lớn của cuộc tấn công và thời gian hoạt động kéo dài của nhóm hacker trước khi bị phát hiện. Các tài khoản bị xâm phạm cho phép tin tặc kiểm soát toàn bộ Instagram và các tài khoản liên kết, bao gồm việc lấy thông tin liên lạc, ngày sinh, thông tin hồ sơ, cũng như khả năng truy cập vào bài đăng, tin nhắn trực tiếp và hoạt động của tài khoản.

Cơ chế hoạt động của lỗ hổng

Theo thông báo của Meta, lỗ hổng nằm trong "một lỗ hổng trong hệ thống khôi phục tài khoản được hỗ trợ bởi AI của Instagram". Tin tặc đã lợi dụng sơ hở này để "thực hiện đặt lại mật khẩu trên các tài khoản người dùng Instagram".

Cụ thể, hacker đã khai thác lỗi trong chatbot của Meta cho phép bất kỳ ai cũng có thể đặt lại mật khẩu của tài khoản chưa bật xác thực hai yếu tố (2FA). Chiêu trò của chúng là đánh lừa chatbot gửi mã xác minh đến địa chỉ email do hacker kiểm soát thay vì email của chủ tài khoản.

"Công cụ này hoạt động đúng như thiết kế; tuy nhiên, do một lỗi trong một đường dẫn mã riêng biệt, hệ thống không xác minh đúng rằng địa chỉ email do người yêu cầu đặt lại mật khẩu cung cấp có khớp với email liên kết với tài khoản Instagram của người dùng đó hay không", Meta giải thích trong thông báo.

Nhờ đó, khi một kẻ tấn công cung cấp một địa chỉ email chưa từng liên kết với tài khoản, hệ thống đã sai lầm khi gửi liên kết đặt lại mật khẩu đến email đó thay vì từ chối yêu cầu. Điều này cho phép các bên thứ ba trái phép nhận được liên kết đặt lại mật khẩu cho các tài khoản mà họ không sở hữu.

Tác động và phản hồi từ Meta

Tại thời điểm này, Meta cho biết họ "chưa biết" liệu có thông tin cá nhân nào bị truy cập trong quá trình hack hay không. Theo danh sách của bang Maine, các cuộc tấn công bắt đầu từ khoảng ngày 17 tháng 4 và kéo dài đến tuần này, khi Meta xác nhận rằng họ đã bảo mật chatbot.

Instagram reportedly bắt đầu thông báo cho những người bị ảnh hưởng vào đầu tuần này bằng cách gửi thông báo đặt lại mật khẩu, ngay cả khi một số người dùng báo cáo rằng các cuộc tấn công vẫn đang diễn ra.

Trong thông báo, Meta cũng xác nhận rằng họ đã cảnh báo người dùng bảo mật tài khoản của mình, "hướng dẫn người dùng bị ảnh hưởng đặt lại mật khẩu và xác thực lại thông qua các kênh an toàn, đã được xác minh".

Bài học cho người dùng

Để ngăn chặn sự cố lặp lại, Meta cho biết họ đã vô hiệu hóa chatbot AI này và loại bỏ đường dẫn mã cho phép chatbot đặt lại mật khẩu người dùng. Công ty cũng đang kiểm tra các chatbot khác trên các nền tảng của mình để ngăn chặn các sự cố tương tự.

Đối với người dùng, vụ việc một lần nữa nhấn mạnh tầm quan trọng của việc kích hoạt xác thực hai yếu tố (2FA). Lỗ hổng này chỉ ảnh hưởng đến những tài khoản không bật tính năng bảo mật này. Ngoài ra, người dùng nên cảnh giác với các email hoặc yêu cầu đặt lại mật khẩu bất ngờ và luôn kiểm tra kỹ nguồn gốc trước khi thực hiện bất kỳ hành động nào trên tài khoản của mình.