Anteriormente, pesquisadores de segurança revelaram que o Instagram, de propriedade do grupo de mídia social Meta, tem grandes problemas de segurança. O assistente de recuperação de conta AI usado pela plataforma possui uma vulnerabilidade lógica. Os hackers podem falar diretamente com o assistente de recuperação de conta de IA para solicitar a redefinição da senha de uma conta específica e alterar o endereço de e-mail vinculado para um endereço de e-mail controlado pelo hacker. Durante todo o processo, o assistente de recuperação de conta AI não exigirá nenhuma verificação do iniciador.
As gangues negras e cinzentas têm como alvo principalmente contas de alto valor do Instagram. Os IDs de usuário usados por essas contas geralmente são muito curtos. Os hackers obtiveram mais de US$ 1 milhão em ganhos ilegais ao sequestrar essas contas e revendê-las. Após ser exposta por pesquisadores de segurança, a Meta divulgou uma mensagem dizendo que corrigiu a vulnerabilidade e está processando as contas roubadas.
A solução é ocultar o assistente de IA na interface front-end:
Mesmo depois que a Meta disse que corrigiu a vulnerabilidade, as contas dos usuários ainda estavam sendo roubadas. Até a própria diretora de gerenciamento de produtos da Meta, Esther Crawford (ex-diretora de gerenciamento de produtos da X/Twitter), teve sua conta do Instagram roubada por hackers. Por que esse problema aconteceu? Como o Meta não corrigiu a vulnerabilidade, ele simplesmente ocultou o assistente de recuperação de conta de IA da página inicial.
Hackers experientes podem facilmente descobrir que o endpoint da API do AI Account Recovery Assistant ainda está acessível, então as gangues de produção preta e cinza constroem diretamente robôs Telegram e ferramentas de script para interagir com o AI Account Recovery Assistant por meio da API. Esse processo é ainda mais simples do que o acesso manual pela interface front-end, o que significa que toda a operação é mais eficiente, permitindo que as gangues de produção preto e cinza roubem mais contas com mais rapidez.
Todo o processo de ataque não envolve banco de dados Meta, servidor back-end ou exploração de vulnerabilidades. Ele apenas explora o problema de lógica de alto privilégio do AI Account Recovery Assistant. Ou seja, o Meta concede permissões muito altas ao AI Account Recovery Assistant, mas não protege contra ataques de palavras imediatas. Portanto, os hackers podem usar palavras de alerta para induzir o AI Account Recovery Assistant a cooperar com o hacker para redefinir a senha de uma conta específica e o endereço de e-mail vinculado.
Ativar a verificação 2FA não evita roubo:
Foi mencionado em relatórios anteriores que se a conta do usuário estiver vinculada à verificação 2FA, ela não poderá ser roubada porque o assistente de recuperação de conta AI não pode ignorar diretamente a proteção 2FA. No entanto, a situação pode ser um pouco diferente agora. Depois que Meta anunciou a correção, a conta da famosa engenheira reversa Jane Manchun Wong também foi roubada, e sua própria conta habilitou a verificação 2FA.
Deste ponto de vista, o AI Account Recovery Assistant pode ser capaz de desvincular a verificação 2FA que o usuário vinculou após redefinir o e-mail. Normalmente, é impossível desvincular o 2FA diretamente por e-mail. Estima-se que os hackers usaram algum tipo de palavra de alerta para induzir o AI Account Recovery Assistant a desvincular a verificação 2FA da conta, portanto a situação atual é muito confusa e a Meta não divulgou nenhuma informação para responder a este assunto.