فاجعه امنیتی چتبات هوش مصنوعی اینستاگرام بسیار عمیقتر از آن چیزی است که شرکت متا ادعا میکند. درحالیکه مدیران این شرکت چند روز قبل اعلام کردند مشکل سرقت اکانتهای اینستاگرام که از طریق هوش مصنوعی متا انجام میشد، برطرف شده است، گزارشهای جدید و شکایتهای کاربران نشان میدهد که هکرها همچنان از این حفره امنیتی سوءاستفاده میکنند.
به گزارش تککرانچ، دلیل اصلی تداوم این هکها این است که متا فقط دکمه رابط کاربری (UI) را حذف کرده و اندپوینتهای API هوش مصنوعی را همچنان آسیبپذیر و در دسترس هکرها رها کرده است.
پس از رسانهایشدن این نقص امنیتی، «اندی استون» (Andy Stone)، مدیر ارتباطات متا، مدعی شد که این مشکل برطرف شده و حسابهای آسیبدیده در حال ایمنسازی هستند. اما کاربران کانالهای تلگرامی فعال در حوزه باگیابی (مانند Bugify Vault) فاش کردند که اقدام متا فقط پاککردن صورتمسئله بوده است؛ آنها دکمه دریافت پشتیبانی (Get Support) را از ظاهر اپلیکیشن حذف کردهاند تا کاربران عادی نتوانند به این چتبات دسترسی پیدا کنند، اما هسته اصلی هوش مصنوعی همچنان به دستورات پاسخ میدهد.
هکرهای ماهر نیز به سرعت ابزارهای خود را تغییر دادند و اکنون با استفاده از باتهای تلگرامی و اسکریپتهای برنامهنویسی، مستقیماً با APIهای متا ارتباط میگیرند و با ارسال یک متن ساده، اکانتها را حتی با وجود فعالبودن تأیید دومرحلهای (2FA) به سرقت میبرند.
هک اکانتهای اینستاگرام با هوش مصنوعی متا
هکرها اکنون بیشتر به دنبال سرقت نامهای کاربری کوتاه و باارزش برای فروش در بازار سیاه و همچنین دسترسی به حسابهای متعلق به افراد مشهور و مقامات دولتی هستند. انگیزه اصلی پشت این هکهای ساده، سودآوری کلان است. نامهای کاربری تکحرفی، چندحرفی و نام کشورهای مختلف در اینستاگرام، به عنوان آیتمهای کلکسیونی در بازارهای خاکستری با قیمتهای نجومی خرید و فروش میشوند. در این موج جدید حملات، افراد شناختهشدهای قربانی شدهاند.
«جین مانچون وانگ» (Jane Manchun Wong)، مهندس و محقق امنیتی سرشناس، اعلام کرد که اکانت ثانویه چهار حرفی او با وجود تأیید دومرحلهای هک شده و پسورد اکانت اصلی او نیز پس از ادعای متا مبنی بر رفع مشکل، مجدداً تغییر کرده است.
«استر کرافورد» (Esther Crawford)، مدیر ارشد سابق محصول در توییتر و مدیر فعلی در خودِ شرکت متا، گزارش داد که شناسه پنج حرفی اینستاگرام او نیز به سرقت رفته است. اکانتهای مقامات دولتی مثل «جان بنتیونیا» (John Bentivegna)، گروهبان ارشد نیروی فضایی آمریکا، و همچنین اکانت غیرفعال کاخ سفید در دوران اوباما نیز در لیست قربانیان این هک عجیب قرار دارند.
گزارشها نشان میدهد که شرکت متا به تازگی بیش از ۸۰۰۰ کارمند خود را اخراج کرده و حدود ۷۰۰۰ نفر دیگر را به اجبار به بخش توسعه هوش مصنوعی منتقل کرده است. این تصمیمات که با هدف کاهش هزینهها و تمرکز مطلق بر روی هوش مصنوعی انجام شد، ضربه مهلکی به ساختار امنیتی اینستاگرام وارد کرد. سپردن وظایف مهمی مانند تغییر رمز عبور و بازیابی اکانت به یک چتبات خودکار (بدون حضور هیچ کارمند یا ناظر انسانی) دقیقاً همان نقطه ضعفی بود که هکرها به دنبال آن میگشتند.