Wyciek danych z czatu AI na Instagramie mógł dotyczyć ponad 20 000 kont

Firma Meta poinformowała o naruszeniu bezpieczeństwa w swoim chatbocie wsparcia opartym na sztucznej inteligencji, zintegrowanym z platformą Instagram. Luka w systemie pozwalała na wysyłanie linków do resetowania haseł na dowolne, niezweryfikowane adresy e-mail. Problem ten istniał przez prawie siedem tygodni i dotyczył co najmniej 20 225 kont.

Na czym polegała luka w systemie?

Wykryta podatność znajdowała się w chatbocie AI, który miał pomagać użytkownikom w zarządzaniu kontem i zwiększać jego bezpieczeństwo. Zamiast tego, błąd w logice systemu umożliwiał obejście standardowych procedur weryfikacji. W rezultacie osoba trzecia mogła zażądać wysłania linku do zresetowania hasła dla dowolnego konta na wskazany przez siebie adres e-mail, bez konieczności udowodnienia, że jest właścicielem tego konta. Dawało to potencjalną możliwość przejęcia kontroli nad profilami użytkowników.

Skala problemu i ryzyko dla użytkowników

Zgodnie z oficjalnym komunikatem Meta, naruszenie dotknęło co najmniej 20 225 kont na Instagramie. Luka była aktywna przez blisko siedem tygodni, co zwiększa prawdopodobieństwo jej wykorzystania. Incydent ten stanowi poważne zagrożenie dla prywatności i bezpieczeństwa danych, ponieważ przejęcie konta na Instagramie może prowadzić do kradzieży tożsamości, oszustw finansowych lub rozsyłania złośliwego oprogramowania. Co istotne, chatbot był wcześniej promowany przez Meta jako narzędzie poprawiające bezpieczeństwo, co podważa zaufanie do wdrażanych przez firmę rozwiązań AI.

Działania i rekomendacje

Meta potwierdziła, że zidentyfikowała i usunęła lukę. Firma nie podała jednak szczegółowych informacji na temat tego, czy i w jakim zakresie dane użytkowników, których dotyczył problem, zostały faktycznie wykorzystane. Użytkownikom Instagrama zaleca się zachowanie szczególnej czujności, włączenie uwierzytelniania dwuskładnikowego (2FA) oraz regularne monitorowanie aktywności na swoich kontach. Incydent ten podkreśla, jak kluczowe jest staranne testowanie i audytowanie systemów opartych na AI przed ich wdrożeniem na szeroką skalę.

Źródło: The Decoder