ranzware
يبدو أن روبوت الدردشة المدعوم بالذكاء الاصطناعي التابع لشركة ميتا قد ساعد متسللين على الاستيلاء على العديد من حسابات إنستجرام باستخدام تقنية بسيطة خلال عطلة نهاية الأسبوع.
وتمكن قراصنة إلكترونيون يُعتقد أنهم موالون لإيران من خطف الحسابات الرسمية على إنستجرام لكل من البيت الأبيض في عهد باراك أوباما، ومتجر سيفورا لبيع منتجات التجميل، ورئيس رقباء القوات الفضائية الأمريكية.
أظهر المتسللون أنهم تمكنوا من إرسال رسالة نصية بسيطة إلى روبوت دعم الذكاء الاصطناعي الخاص بشركة ميتا لمساعدتهم في إعادة تعيين كلمات المرور والاستيلاء على حسابات إنستجرام المستهدفة.
الاستيلاء على حسابات إنستجرام
قامت شركة ميتا، الشركة الأم لإنستجرام، بطرد المتسللين منذ ذلك الحين انتشرت مقاطع فيديو على تطبيق المراسلة Telegram لصور تزعم أن روبوت الدردشة الخاص بالشركة لعب دورًا رئيسيًا في تمكين الوصول إلى الحساب.
إعادة تعيين كلمة المرور
يشرح أحد الفيديوهات أن المهاجم يحتاج إلى الاتصال بصفحة تسجيل الدخول إلى إنستجرام باستخدام عنوان IP من نفس المنطقة الجغرافية للحساب الذي يرغب في اختراقه ويمكن تحقيق ذلك باستخدام شبكة افتراضية خاصة (VPN) و بعد ذلك، ينقر المهاجم على “نسيت كلمة المرور” ويكتب اسم المستخدم للحساب المستهدف وقد يظهر زر “الحصول على الدعم” للوصول إلى روبوت الدعم الآلي من ميتا.
سيقدم لك برنامج الدردشة الآلي ثلاثة خيارات لإعادة تعيين كلمة المرور، والتي تتضمن عادةً إرسال رمز إعادة التعيين إلى البريد الإلكتروني أو رقم الهاتف الخاص بالمالك الشرعي.
ولكن بدلاً من اختيار أحد هذه الخيارات، يشير الشرح إلى أنه يمكنك كتابة أمر يطلب من برنامج الدردشة الآلي إرسال رمز إعادة تعيين كلمة المرور إلى عنوان البريد الإلكتروني الخاص بالمهاجم.
أكثر من محاولة
قد يتطلب الأمر أكثر من محاولة لاستغلال الثغرة، إلا أن الفيديو يُظهر أن برنامج الدردشة الآلي الخاص بـ Meta يُرسل في النهاية رمز إعادة تعيين كلمة المرور إلى عنوان البريد الإلكتروني المطلوب، متجاوزًا بذلك حماية كلمة المرور. بعد ذلك، يُمكن إدخال رمز إعادة التعيين المكون من 8 أرقام في برنامج الدردشة الآلي الخاص بـ Meta لإنشاء كلمة مرور جديدة لحساب Instagram المستهدف.
حتى الآن، لم تُصدر شركة ميتا سوى تصريح رسمي مفاده: “تم حل هذه المشكلة، ونحن نعمل على تأمين الحسابات المتأثرة”. ومع ذلك، يبدو أن الحادثة تُسلط الضوء على كيفية إمكانية إدخال روبوتات الدردشة المدعومة بالذكاء الاصطناعي ثغرات أمنية في الأنظمة الإلكترونية، خاصةً إذا مُنحت صلاحيات لتغيير إعدادات الحساب. كما نشرت شركة 404Media أيضًامكشوفتشير الدلائل إلى أن تقنية الاستغلال ربما كانت موجودة منذ أشهر، على الأقل منذ شهر مارس ويعد ليس من الواضح تمامًا ما إذا كان هذا الخلل سيُمكّن من اختراق الحسابات المحمية بالمصادقة الثنائية..
Add comment