Meta heeft bevestigd dat een beveiligingslek in zijn eigen AI-ondersteunde klantenservice heeft geleid tot de mogelijke overname van meer dan 20.000 Instagram-accounts. De kwetsbaarheid kwam eerder deze week aan het licht en maakte misbruik van onvoldoende identiteitscontroles binnen de AI-chatbot die gebruikers ondersteunt bij problemen met hun account.
Volgens informatie die Meta heeft verstrekt aan de Amerikaanse staat Maine, gaat het om maximaal 20.225 getroffen accounts. Het bedrijf benadrukt dat dit een bovengrens betreft. In het aantal kunnen ook situaties zijn opgenomen waarbij de rechtmatige eigenaar zelf toegang tot het account heeft hersteld, waardoor niet alle gevallen daadwerkelijk het gevolg hoeven te zijn van kwaadwillende activiteiten.
Hoe de aanval werkte
De kwetsbaarheid bevond zich in de AI-chatbot van Meta, die bedoeld is om gebruikers te helpen wanneer zij bijvoorbeeld hun wachtwoord zijn vergeten of geen toegang meer hebben tot hun account. De chatbot bleek echter onvoldoende te controleren of degene die om hulp vroeg daadwerkelijk de eigenaar van het betreffende account was.
Aanvallers maakten gebruik van een VPN-verbinding om hun locatie te laten overeenkomen met de regio waarin het doelwit zich bevond. Hierdoor kon de AI-chatbot worden misleid en ontstond de indruk dat de verzoeken afkomstig waren van de legitieme gebruiker.
Vervolgens deden de aanvallers zich voor als iemand die de toegang tot zijn Instagram-account was verloren. Tijdens het herstelproces vroegen zij de chatbot om het e-mailadres dat aan het account gekoppeld was te wijzigen. Door het ontbreken van aanvullende verificatie voerde de AI deze wijziging uit.
Zodra het e-mailadres was aangepast, konden de aanvallers via hun eigen e-mailadres een nieuw wachtwoord instellen en daarmee volledige controle over het account verkrijgen. Accounts waarop geen tweestapsverificatie (2FA) was ingeschakeld, waren hierbij bijzonder kwetsbaar.
Gericht op waardevolle gebruikersnamen
Uit onderzoek blijkt dat de aanvallers zich vooral richtten op accounts met zeer korte en gewilde gebruikersnamen van maximaal vier tekens. Dergelijke namen hebben binnen de online handelsmarkt een aanzienlijke waarde en kunnen voor hoge bedragen worden doorverkocht.
Daarnaast werden ook bekende en invloedrijke accounts doelwit van pogingen tot accountovername. Onder de accounts die volgens meldingen werden aangevallen of waarbij toegang werd geprobeerd te verkrijgen, bevonden zich onder meer:
- het Instagram-account van het Witte Huis uit de periode van voormalig president Barack Obama;
- een hooggeplaatste adviseur van de United States Space Force;
- beveiligingsonderzoeker Jane Wong.
Ontdekking en reactie van Meta
Meta ontdekte de kwetsbaarheid op 31 mei. Nadat het probleem was vastgesteld, werd de betreffende AI-chatbot onmiddellijk offline gehaald om verdere misbruikgevallen te voorkomen.
Het bedrijf heeft aangekondigd aanvullende beveiligingsmaatregelen te implementeren. In toekomstige versies van de AI-ondersteuning moeten gevoelige accountwijzigingen, zoals het aanpassen van een e-mailadres, gepaard gaan met strengere verificatieprocedures zodat onbevoegde personen dergelijke wijzigingen niet meer kunnen uitvoeren.
Het incident onderstreept volgens beveiligingsexperts de risico's van geautomatiseerde klantenservice wanneer cruciale veiligheidscontroles ontbreken. Vooral processen rondom accountherstel en wijzigingen van contactgegevens vereisen sterke identiteitsverificatie, omdat deze direct toegang kunnen geven tot gebruikersaccounts.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack