Meta 漏洞致 20225 个 Instagram 账户被劫持,知名账号受影响
Meta 在向缅因州提交的通知中确认,黑客利用公司 AI 支持的聊天机器人,控制了 20225 个 Instagram 账户。Bleeping Computer 最早发现了这份通知,Meta 将此次攻击归咎于一个“漏洞”。
此次攻击于 5 月 31 日首次出现,Meta 传播负责人安迪·斯通称公司在 6 月 1 日“解决”了这一事件。期间,多个知名 Instagram 账户受到影响,包括美国前总统巴拉克·奥巴马的旧白宫账户、美国太空部队总军士长约翰·F·本蒂维尼亚以及丝芙兰(Sephora)的账户。
该漏洞使得攻击者只需向聊天机器人请求重置密码,就能劫持未开启双因素认证(2FA)的账户。工具本身运行正常,但由于另一条代码路径存在漏洞,系统未能正确验证请求重置密码者提供的电子邮件地址是否与该用户 Instagram 账户关联的邮箱一致。
当有人提供与账户此前未关联的电子邮件地址时,系统没有拒绝该请求,而是错误地将密码重置链接发送到了这个未关联的邮箱,使得未经授权的第三方能够收到他们并不拥有的账户的密码重置链接。
Meta 在通知中表示,目前“不清楚”此次攻击是否导致任何个人数据被获取,但指出账户劫持者可能获取了电子邮件地址、电话号码、出生日期、社交媒体帖子、直接消息、个人资料信息、账户活动以及关联账户等信息。
通知显示,有 30 名受影响用户居住在缅因州,不过 Meta 表示这是一个“上限”,因为其中一些账户可能是被合法访问的。
该公司指出,已停用其 AI 支持工具,移除了有问题的代码路径,并使利用此次漏洞生成的所有密码重置链接失效。此外,公司还将所有可能受影响的账户“纳入强制安全检查,要求在访问账户前进行身份验证”。
编辑观点:Meta 此次安全事件暴露出代码验证环节的严重漏洞,企业应加强安全审查,避免类似因小漏洞引发的大规模账户劫持事件,保障用户数据安全。