Meta : des milliers de comptes Instagram piratés via son chatbot IA

Introduction

Meta a confirmé que des milliers de comptes Instagram ont été piratés en exploitant une vulnérabilité dans son chatbot IA. Les hackers ont réussi à prendre le contrôle des comptes en abusant du système de récupération de comptes assisté par IA.

Contexte Technique

La vulnérabilité a été exploitée en trickant le chatbot pour qu'il envoie un code de vérification à une adresse e-mail contrôlée par les hackers, plutôt qu'à l'adresse e-mail associée au compte. Cela a permis aux hackers de réinitialiser les mots de passe et de prendre le contrôle des comptes. Le système de récupération de comptes assisté par IA a été conçu pour aider les utilisateurs à réinitialiser leurs mots de passe, mais une faille dans le code a permis aux hackers de contourner les mesures de sécurité.

Meta a déclaré que le chatbot fonctionnait correctement, mais qu'une faille dans un chemin de code séparé a empêché le système de vérifier correctement que l'adresse e-mail fournie par l'individu qui demandait une réinitialisation de mot de passe correspondait à l'adresse e-mail associée au compte Instagram. Cela a permis aux hackers de recevoir un lien de réinitialisation de mot de passe pour des comptes qu'ils ne possédaient pas.

Analyse et Implications

La faille de sécurité a permis aux hackers d'accéder à des informations personnelles, telles que les dates de naissance, les informations de profil et les messages directs. Meta a déclaré qu'elle n'était pas au courant de quelles informations personnelles avaient été consultées pendant les piratages. Les hackers ont également pu accéder aux publications, aux messages directs et à l'activité des comptes.

La firme a notifié au moins 20 225 personnes que leurs comptes avaient été compromis, dont 30 personnes dans le Maine. Les utilisateurs ont été invités à réinitialiser leurs mots de passe et à se réauthentifier via des canaux sécurisés et vérifiés.

Perspective

Meta a désactivé le chatbot IA pour le moment et a supprimé le chemin de code qui permettait au chatbot de réinitialiser les comptes des utilisateurs. L'entreprise vérifie également d'autres chatbots sur ses plateformes pour prévenir de nouveaux incidents. Il est important de noter que cette faille de sécurité est survenue après que Meta ait licencié des milliers d'employés et récompensé les dirigeants avec des incitations en actions, alors que l'entreprise continue de miser sur l'IA.