De afgelopen dagen kwamen steeds meer meldingen naar buiten van Instagram-accounts die plotseling waren overgenomen door hackers. Daarbij ging het niet alleen om gewone gebruikers, maar ook om accounts van bekende personen, organisaties en merken. Inmiddels is duidelijk geworden hoe de aanvallers te werk gingen, en wat daarbij vooral opvalt, is hoe eenvoudig de methode was.
Normaal gesproken zijn accountovernames het gevolg van phishing, gestolen wachtwoorden of gebruikers die per ongeluk op een kwaadaardige link klikken. In dit geval lag de oorzaak echter bij een kwetsbaarheid in Meta’s eigen AI-gestuurde ondersteuningssysteem. Daardoor konden aanvallers in sommige gevallen een Instagram-account overnemen zonder toegang te hebben tot het wachtwoord van het slachtoffer of diens e-mailadres.
Een ondersteuningschatbot met te veel bevoegdheden
Meta heeft de afgelopen tijd steeds meer AI-functies geïntegreerd in zijn platforms, waaronder Facebook en Instagram. Een van die functies is een AI-ondersteuningsassistent die gebruikers moet helpen bij accountproblemen, herstelprocedures en beveiligingsvragen.
Juist deze AI-assistent bleek echter een cruciale fout te bevatten. Aanvallers ontdekten dat de chatbot in bepaalde situaties onvoldoende controleerde of iemand daadwerkelijk eigenaar was van een account. Daardoor kon de AI worden misleid om wijzigingen aan te brengen die normaal gesproken alleen door de rechtmatige accounteigenaar zouden mogen worden uitgevoerd.
Hoe de aanval werkte
Volgens meerdere beveiligingsonderzoekers verliep de aanval verrassend simpel. Een hacker startte een gesprek met de AI-ondersteuningsassistent en gaf aan dat het e-mailadres van een bepaald Instagram-account moest worden gewijzigd. Vervolgens werd een nieuw e-mailadres opgegeven dat volledig onder controle stond van de aanvaller.
In plaats van eerst grondig te verifiëren of de verzoeker daadwerkelijk eigenaar was van het account, stuurde het systeem een verificatiecode naar het door de aanvaller opgegeven e-mailadres. Nadat deze code aan de chatbot werd doorgegeven, kon het systeem het nieuwe e-mailadres koppelen aan het doelaccount.
Daarna werd het nog eenvoudiger. Zodra het e-mailadres was gewijzigd, kon de aanvaller een wachtwoordreset aanvragen. Omdat het account inmiddels aan zijn eigen e-mailadres gekoppeld was, kwamen de resetberichten niet meer bij het slachtoffer terecht, maar rechtstreeks bij de hacker. Binnen enkele minuten kon een compleet Instagram-account daardoor worden overgenomen.
Bekende accounts getroffen
De kwetsbaarheid werd niet alleen gebruikt tegen willekeurige gebruikers. Diverse opvallende accounts werden slachtoffer van de aanval. Onder de getroffen accounts bevonden zich bekende merken, publieke organisaties en accounts met waardevolle gebruikersnamen. Sommige van deze gebruikersnamen vertegenwoordigen op de zwarte markt een aanzienlijke financiële waarde, waardoor ze een aantrekkelijk doelwit vormen voor cybercriminelen.
Beveiligingsonderzoekers meldden bovendien dat de methode al enige tijd in besloten online groepen werd gedeeld voordat de kwetsbaarheid breed bekend werd. Hierdoor konden meerdere aanvallers er misbruik van maken voordat Meta ingreep.
Waarom dit zo zorgwekkend is
Wat deze situatie bijzonder maakt, is dat de aanval niet draaide om een technisch geavanceerde hack. Er was geen ingewikkelde malware nodig, geen lek in de software van het slachtoffer en vaak ook geen menselijke fout van de gebruiker zelf.
De kern van het probleem lag in het feit dat een AI-systeem bevoegdheden kreeg om gevoelige accountwijzigingen uit te voeren zonder voldoende veiligheidscontroles. Waar een menselijke medewerker normaal gesproken extra verificatiestappen zou moeten doorlopen, bleek de AI in bepaalde gevallen te gemakkelijk overtuigd te kunnen worden om wijzigingen door te voeren.
Dat roept bredere vragen op over de rol van kunstmatige intelligentie binnen klantenservice- en beveiligingsprocessen. Wanneer AI-systemen toegang krijgen tot functies zoals accountherstel, wachtwoordwijzigingen en identiteitsverificatie, kunnen fouten in de implementatie direct grote gevolgen hebben voor gebruikers.
Meta heeft het probleem inmiddels opgelost
Meta heeft inmiddels bevestigd dat de kwetsbaarheid is verholpen. Het bedrijf heeft maatregelen genomen om verdere misbruikpogingen te blokkeren en werkt aan het herstellen van getroffen accounts. Daarnaast worden extra beveiligingscontroles toegevoegd om te voorkomen dat soortgelijke situaties zich opnieuw voordoen.
Hoewel het lek inmiddels is gedicht, laat het incident zien hoe kwetsbaar geautomatiseerde systemen kunnen zijn wanneer zij toegang krijgen tot kritieke beveiligingsfuncties. De gebeurtenis geldt als een van de opvallendste voorbeelden van hoe een AI-ondersteuningssysteem, bedoeld om gebruikers te helpen, onbedoeld een hulpmiddel kon worden voor accountovernames.
Voor veel gebruikers vormt dit een belangrijke herinnering dat ook grote technologiebedrijven fouten kunnen maken bij de inzet van kunstmatige intelligentie. In dit geval bleek niet een geavanceerde hackertechniek het grootste risico, maar een AI-systeem dat simpelweg meer vertrouwen kreeg dan verantwoord was.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack