Компания Meta* признала и исправила проблему с безопасностью, из-за которой любой мог заставить чат-бота Meta* AI сбросить пароль в чужих аккаунтах Instagram** без двухфакторной аутентификации.
Согласно уведомлению об утечке данных, поданному в Генеральную прокуратуру штата Мэн, компания Meta* сообщила как минимум 20 225 пользователям о том, что их аккаунты были взломаны.
Мошенники воспользовались уязвимостью в чат-боте Meta*, которая позволяла сбросить пароль любой учётной записи, если в ней не была включена двухфакторная аутентификация. Злоумышленники просили чат-бота отправить код подтверждения на адрес подконтрольной электронной почты, в результате чего аферисты получали доступ к аккаунту человека в Instagram**, ко всем связанным аккаунтам, контактам, дате рождения и личным сообщениям.
Meta* подтвердила, что атаки мошенников связаны с «уязвимостью в системе восстановления учётных записей Instagram с помощью искусственного интеллекта», которая была использована для «сброса паролей в аккаунтах пользователей Instagram**».
«Сам инструмент работал исправно. Однако из-за ошибки в отдельном участке кода система не проверяла должным образом, совпадает ли адрес электронной почты, указанный пользователем, запросившим сброс пароля, с адресом электронной почты, привязанным к его аккаунту в Instagram**, — сообщили в Meta*. — В результате, когда пользователь указывал адрес электронной почты, ранее не связанный с учётной записью, система ошибочно отправляла ссылку для сброса пароля на этот адрес, а не отклоняла запрос. Это позволяло неавторизованным третьим лицам получать ссылку для сброса пароля от учётных записей, владельцами которых они не являлись».
Meta* заявила, что на данный момент отключила чат-бота и удалила код, позволявший ему сбрасывать настройки учётных записей пользователей. Компания также проверила других чат-ботов на своих платформах, чтобы предотвратить повторение подобных инцидентов.
Meta Platforms*, а также принадлежащие ей социальные сети Facebook**, WhatsApp** и Instagram**: * — признана экстремистской организацией, её деятельность в России запрещена; ** — запрещены в России.
ссылка на оригинал статьи https://habr.com/ru/articles/1044540/