Instagram已成功修复一处安全隐患,此前黑客正是利用该漏洞,通过欺骗Meta公司旗下的人工智能客服系统,进而盗取了多个用户账户。
上周末,众多Reddit用户反映其Instagram账户被盗,而社交媒体平台X上也涌现出大量有关账户被劫持的警示信息。受害者中,包括奥巴马政府时期的白宫官方Instagram账户(自2017年起处于非活跃状态)以及美国太空部队总军士长约翰·本蒂韦尼亚的私人账户。
安全研究员简·黄透露,自己的Instagram账户也未能幸免于难。“在未经我授权的情况下,登录密码被更改,而且昨天一直收到来自不同地点的密码重置请求,情况非常令人担忧。”简·黄表示。
据X平台上流传的一段视频揭示,黑客实施盗号的整个过程如下:首先,黑客会利用虚拟专用网络(VPN)伪造出与目标用户一致的地理位置,以绕过Instagram的自动安全检测机制。随后,他们会联系Meta的人工智能客服助手,并要求为目标账户添加一个新的电子邮件地址。视频画面显示,客服机器人会将验证码发送至黑客提供的邮箱。黑客收到验证码后将其回传给机器人,机器人便会弹出“重置密码”按钮,使黑客得以设置新密码,从而完全掌控受害者的账户。
科技媒体TechCrunch经过核查,证实视频中黑客所展示的邮箱确实成功收到了Instagram平台下发的验证码。
此种攻击手法的核心在于,黑客在整个过程中无需攻破受害者绑定在Instagram账户上的原始注册邮箱。
周一,Instagram发言人安迪·斯通在简·黄及其他用户的帖子下回复称,所有相关漏洞均已得到修补。目前尚未公布有多少用户账户受到此次非法入侵的具体数据。