Meta* признала и исправила проблему, из-за которой любой мог завладеть чужим аккаунтом в Instagram
habr.comКомпания Meta* признала и исправила проблему с безопасностью, из-за которой любой мог заставить чат-бота Meta* AI сбросить пароль в чужих аккаунтах Instagram** без двухфакторной аутентификации.Согласно уведомлению об утечке данных, поданному в Генеральную прокуратуру штата Мэн, компания Meta* сообщила как минимум 20 225 пользователям о том, что их аккаунты были взломаны.Мошенники воспользовались уязвимостью в чат-боте Meta*, которая позволяла сбросить пароль любой учётной записи, если в ней не была включена двухфакторная аутентификация.
Злоумышленники просили чат-бота отправить код подтверждения на адрес подконтрольной электронной почты, в результате чего аферисты получали доступ к аккаунту человека в Instagram**, ко всем связанным аккаунтам, контактам, дате рождения и личным сообщениям.Meta* подтвердила, что атаки мошенников связаны с «уязвимостью в системе восстановления учётных записей Instagram с помощью искусственного интеллекта», которая была использована для «сброса паролей в аккаунтах пользователей Instagram**».«Сам инструмент работал исправно.
