维度网讯，Meta的AI辅助账户恢复系统存在漏洞，导致20,225个Instagram账户被劫持。攻击者利用该公司高触达支持（High Touch Support，HTS）系统中的缺陷，未经授权对账户执行了密码重置。

高触达支持（HTS）是Instagram基于人工智能的账户恢复系统，旨在帮助用户重新获得被锁定账户的访问权限。用户可在无法访问账户时通过支持工作流程请求密码重置链接。

Meta事件响应法律副总顾问Amber Hannah解释称，该工具本身运行正常并实现预期功能，但一个独立代码路径中的错误导致系统未能正确验证请求密码重置时提供的电子邮件地址是否与该用户Instagram账户关联的电子邮件地址匹配。当个人提供之前未与账户关联的电子邮件地址时，系统错误地将密码重置链接发送到该未关联邮箱，而非拒绝该请求。这使得未授权第三方能够接收到不属于自己账户的密码重置链接。重置密码后，如果账户持有者未启用双重身份验证（2FA），未授权方即可登录该账户。

Meta表示在5月31日发现该漏洞。缅因州总检察长网站发布的文件将4月17日列为事件日期，表明首次未授权访问可能发生在六周多以前。公司称没有证据显示被入侵账户中有哪些信息被访问（如果有的话）。受影响账户可能泄露的数据包括联系信息（如电子邮件地址和电话号码）、出生日期、照片、视频、快拍、私信、账户活动、个人资料信息以及关联服务。

上周，Reddit、X、Telegram及安全社区中出现报告，称Instagram账户正通过Meta的AI支持工作流程被劫持。攻击的简单程度引人注目。Telegram上分享的视频显示，攻击者使用VPN服务将自己置于目标账户的同一大致地理区域，然后要求聊天机器人将账户关联到他们控制的电子邮件地址。

据安全记者Brian Krebs称，攻击者针对高知名度Instagram账户，包括奥巴马白宫账户和美国太空军首席军士长账户，以及可在黑市转售的简短、高价值用户名。

发现漏洞后，公司禁用了受影响的AI辅助支持工具，废除了通过有漏洞的工作流程生成的密码重置链接，并要求对可能受影响的账户进行额外身份验证，指示受影响用户重置密码。Meta表示，在重新推出该工具之前，将修复Instagram恢复入口点的身份验证检查，确保在启动任何密码重置之前正确验证电子邮件地址与现有账户信息，并正在对Meta平台上类似的账户恢复流程进行全面审查以识别和修复潜在问题。

Meta于3月推出了其AI支持助手，声称正在严格测试每个AI系统、建立防护措施并评估其性能，以防止偏见并确保一致性和准确性。将账户恢复外包给AI的负面效果比预期来得更快。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com