Anteriormente, investigadores de seguridad revelaron que Instagram, propiedad del grupo de redes sociales Meta, tiene importantes problemas de seguridad. El asistente de recuperación de cuentas de IA utilizado por la plataforma tiene una vulnerabilidad lógica. Los piratas informáticos pueden hablar directamente con el asistente de recuperación de cuentas de IA para solicitar restablecer la contraseña de una cuenta específica y cambiar la dirección de correo electrónico vinculada a una dirección de correo electrónico controlada por el pirata informático. Durante todo el proceso, el asistente de recuperación de cuenta de IA no requerirá ninguna verificación por parte del iniciador.
Las bandas negras y grises se dirigen principalmente a cuentas de Instagram de alto valor. Los ID de usuario utilizados por estas cuentas suelen ser muy cortos. Los piratas informáticos han obtenido más de 1 millón de dólares en ganancias ilegales al secuestrar estas cuentas y revenderlas. Después de ser expuesto por investigadores de seguridad, Meta publicó un mensaje diciendo que había solucionado la vulnerabilidad y estaba procesando las cuentas robadas.
La solución es ocultar el asistente de IA en la interfaz de usuario:
Incluso después de que Meta dijera que había solucionado la vulnerabilidad, las cuentas de los usuarios seguían siendo robadas. Incluso a la propia directora de gestión de productos de Meta, Esther Crawford (ex directora de gestión de productos en X/Twitter), los piratas informáticos le robaron su cuenta de Instagram. ¿Por qué ocurrió este problema? Debido a que Meta no solucionó la vulnerabilidad en absoluto, simplemente ocultó el asistente de recuperación de cuentas de IA de la página de inicio.
Los piratas informáticos experimentados pueden encontrar fácilmente que el punto final de la API del Asistente de recuperación de cuentas AI todavía es accesible, por lo que los grupos de producción negros y grises construyen directamente robots de Telegram y herramientas de script para interactuar con el Asistente de recuperación de cuentas AI a través de la API. Este proceso es incluso más simple que el acceso manual desde la interfaz de usuario, lo que significa que toda la operación es más eficiente, lo que permite a los grupos de producción negros y grises robar más cuentas más rápido.
Todo el proceso de ataque no involucra la base de datos de Meta, el servidor back-end ni la explotación de vulnerabilidades. Simplemente explota el problema lógico de altos privilegios del Asistente de recuperación de cuenta AI. Es decir, Meta le otorga al Asistente de recuperación de cuentas AI permisos demasiado altos, pero no protege contra ataques de palabras rápidos. Por lo tanto, los piratas informáticos pueden utilizar palabras rápidas para inducir al Asistente de recuperación de cuentas de IA a cooperar con el pirata informático para restablecer la contraseña de una cuenta específica y la dirección de correo electrónico vinculada.
Habilitar la verificación 2FA no evita el robo:
En informes anteriores se mencionó que si la cuenta de usuario ha sido vinculada a la verificación 2FA, no puede ser robada porque el asistente de recuperación de cuenta de IA no puede eludir directamente la protección 2FA. Sin embargo, la situación puede ser algo diferente ahora. Después de que Meta anunció la solución, la cuenta de la famosa ingeniera inversa Jane Manchun Wong también fue robada, y su cuenta había habilitado la verificación 2FA.
Desde este punto de vista, el Asistente de recuperación de cuenta AI puede desvincular la verificación 2FA que el usuario ha vinculado después de restablecer el correo electrónico. Por lo general, es imposible desvincular 2FA directamente a través del correo electrónico. Se estima que los piratas informáticos utilizaron algún tipo de palabras rápidas para inducir al Asistente de recuperación de cuenta AI a desvincular la verificación 2FA de la cuenta, por lo que la situación actual es muy confusa y Meta no ha publicado ninguna información para responder a este asunto.