Lỗ hổng Instagram mới nhất vừa ngớ ngẩn vừa đáng sợ

Hôm qua, hàng loạt tài khoản Instagram, bao gồm cả những tài khoản lớn như trang của Nhà Trắng thời Obama, dường như đã bị hack. Tôi đã chứng kiến nhiều kỹ thuật khai thác và chiếm đoạt tài khoản, nhưng vụ này là cái "ngớ ngẩn" nhất, đến mức khó tin là sự thật.

Quy trình chiếm đoạt tài khoản

Bước 01: Giả mạo vị trí và khởi tạo yêu cầu hỗ trợ

Tất cả những gì kẻ tấn công cần để bắt đầu là tên người dùng của bạn. Sau đó, chúng sử dụng VPN hoặc proxy ở vị trí gần thành phố của bạn để thuật toán bảo mật của Instagram không nghi ngờ gì. (Bạn có thể dễ dàng lấy thông tin này từ hồ sơ công khai, mục "Giới thiệu" hoặc hàng trăm cách khác). Khi yêu cầu có vẻ đến từ đúng khu vực địa lý, chúng sẽ báo với AI hỗ trợ của Meta rằng tài khoản đang bị hack và yêu cầu gửi mã xác minh đến một địa chỉ email bất kỳ do chúng kiểm soát.

Bước 02: Chỉ vậy thôi

Thật sự chỉ có vậy. Đây là lần đầu tiên tôi thấy tính năng đặt lại mật khẩu "zero auth" (không cần xác thực) hoạt động trong môi trường thực tế. Hệ thống dường như không thực hiện thêm bước kiểm tra nào để xem email được cung cấp có phải là email mà người dùng đã từng sử dụng hay không. Khi AI gửi mã bảo mật đến email của kẻ tấn công, chúng chỉ cần nhập lại mã đó để hoàn tất xác minh. Nền tảng ngay lập tức cung cấp liên kết đặt lại mật khẩu mới, trao toàn quyền sở hữu tài khoản cho kẻ tấn công.

AI của Instagram có thể hoặc không thể yêu cầu kẻ tấn công cung cấp video selfie để chứng minh danh tính. Tuy nhiên, hiện tại nó không quá khắt khe, nên có báo cáo cho thấy chỉ cần một bức ảnh công khai từ feed của nạn nhân được biến đổi bằng AI cũng có thể vượt qua được bước này.

2FA vô dụng

Trong trường hợp bạn đang thắc mắc, vì hệ thống coi quy trình phục hồi quyền cao này là việc đặt lại tài khoản bởi "chủ nhân" thực sự, nên 2FA gốc bị bỏ qua hoàn toàn trong quá trình này.

Các phiên đăng nhập hiện có bị thu hồi, mật khẩu bị thay đổi mà không có bất kỳ thông báo qua email, tin nhắn hay đẩy nào. Chủ nhân thực sự không thể khởi động quy trình phục hồi vì email và số điện thoại giờ đã liên kết với kẻ tấn công. Không có con người nào để khiếu nại lên, chỉ là bạn tranh cãi với một chiếc chatbot trong hy vọng lấy lại quyền kiểm soát trong khi cầu nguyện chúng không làm lại lần nữa.

Và nếu bạn nằm trong nhóm tài khoản đang được thử nghiệm A/B tính năng hỗ trợ AI, thật không may, bạn thậm chí không thể tắt nó đi.

Chợ đen tràn lan

Nhiều nhóm Telegram trên chợ đen đã mọc lên cung cấp dịch vụ "chiếm đoạt tài khoản" với giá cao và tốc độ nhanh chóng. Xét rằng những tên tài khoản ngắn (short handles) có thể trị giá hàng trăm nghìn đến hàng triệu đô la, điều này thực sự không quá ngạc nhiên.

Các tài khoản đã bị lật lại (flip) để kiếm lời, hoặc bị sử dụng cho mục đích tuyên truyền, như trường hợp tài khoản obamawhitehouse hay ocmssf của Thượng sĩ Sĩ quan Chỉ huy Lực lượng Không gian Hoa Kỳ.

Đã vá lỗi

Các nhóm Telegram đã im hơi lặng tiếng khi Meta dường như đã vá lỗi này, nhưng có vẻ phương pháp cụ thể này đã hoạt động trong vài tuần, nếu không muốn nói là vài tháng.

Thực tế là một công ty trị giá 1.500 tỷ USD lại thiếu các hàng rào bảo vệ mạnh mẽ và AI hỗ trợ của họ chỉ cần được "nhẹ nhàng" yêu cầu là thay đổi email liên kết của bất kỳ ai là điều thật đáng sợ, nếu nó không buồn cười đến thế.