Lỗ hổng chatbot AI của Meta bị khai thác để chiếm quyền hàng loạt tài khoản Instagram

vtv8.vtv.vn - Một lỗ hổng trong chatbot hỗ trợ khách hàng bằng trí tuệ nhân tạo của Meta đã bị tin tặc lợi dụng để thay đổi email đăng nhập và chiếm quyền kiểm soát nhiều tài khoản Instagram. Vụ việc làm dấy lên lo ngại về mức độ an toàn khi AI được trao quyền xử lý các tác vụ nhạy cảm liên quan đến tài khoản người dùng.

Tin tặc đã khai thác chatbot hỗ trợ sử dụng trí tuệ nhân tạo của Meta nhằm chiếm quyền nhiều tài khoản Instagram. Sự việc cho thấy những rủi ro tiềm ẩn khi các nền tảng công nghệ cho phép AI xử lý các yêu cầu quan trọng như thay đổi email đăng nhập hoặc hỗ trợ khôi phục tài khoản.

Theo 404 Media, nhiều video hướng dẫn khai thác lỗ hổng này đã xuất hiện trong các nhóm Telegram của giới tin tặc và cộng đồng nghiên cứu bảo mật. Phương thức thực hiện được cho là khá đơn giản: kẻ tấn công sử dụng công cụ che giấu vị trí thực tế để hệ thống nhận diện họ đang ở gần khu vực của chủ tài khoản, sau đó gửi yêu cầu tới chatbot hỗ trợ của Meta để thay đổi địa chỉ email liên kết với tài khoản Instagram mục tiêu.

Sau khi email bị thay đổi, tin tặc có thể yêu cầu đặt lại mật khẩu và nhanh chóng giành quyền kiểm soát tài khoản. Những tài khoản Instagram sở hữu tên ngắn, dễ nhớ hoặc liên quan đến người nổi tiếng thường có giá trị cao và được giao dịch với mức giá lớn trên thị trường không chính thức.

Meta cho biết đã khắc phục sự cố và đang triển khai các biện pháp bảo vệ đối với những tài khoản bị ảnh hưởng. Theo thông tin từ 404 Media, lỗ hổng đã được công ty vá khẩn cấp vào ngày 29/5. Tuy nhiên, hiện vẫn chưa có số liệu cụ thể về lượng tài khoản bị chiếm quyền trước khi lỗi được xử lý.

Một số tài khoản đáng chú ý được cho là nằm trong số nạn nhân, bao gồm tài khoản Barack Obama White House, tài khoản của một quan chức cấp cao thuộc Space Force và tài khoản của nhà bán lẻ Sephora. Trong thời gian bị xâm nhập, tài khoản Barack Obama White House từng đăng tải hình ảnh cùng các thông điệp thể hiện sự ủng hộ Iran.

Các chuyên gia an ninh mạng khuyến nghị người dùng kích hoạt xác thực nhiều lớp nhằm giảm thiểu nguy cơ bị chiếm quyền tài khoản. Phương thức này yêu cầu thêm một bước xác minh ngoài mật khẩu, chẳng hạn nhập mã được gửi đến điện thoại di động.

Vụ việc cũng đặt ra những câu hỏi về độ an toàn của các công cụ AI trong hoạt động hỗ trợ khách hàng. Khi AI được cấp quyền thay đổi thông tin tài khoản, các hệ thống cần có cơ chế kiểm tra độc lập trước khi cho phép thực hiện các thao tác quan trọng như đổi email, đặt lại mật khẩu hoặc cập nhật thông tin đăng nhập.

Bình luận