Meta AI vô tình "giao trứng cho ác": Hacker lợi dụng chatbot AI đánh cắp hàng loạt tài khoản Instagram

Gần đây, cộng đồng an toàn thông tin đã được một phen chấn động khi hàng loạt tài khoản Instagram nổi tiếng bất ngờ rơi vào tay kẻ gian. Đáng ngạc nhiên hơn, "đồng phạm" đắc lực cho đợt tấn công này lại không phải là một lỗ hổng mã nguồn phức tạp nào đó, mà chính là hệ thống chatbot AI hỗ trợ người dùng của Meta.

Chiêu trò qua mặt AI "dễ như ăn cháo"

Đầu năm nay, Meta bắt đầu triển khai hệ thống chatbot AI trên toàn cầu nhằm thay thế nhân viên con người trong việc xử lý các yêu cầu hỗ trợ như báo cáo mạo danh hay quên mật khẩu. Dù giúp giảm tải hệ thống, song công cụ này lại vô tình mở ra một lỗ hổng bảo mật được các chuyên gia đánh giá là ngớ ngẩn nhất trong nhiều năm qua.

Để chiếm quyền một tài khoản, tất cả những gì tin tặc cần làm là biết tên tài khoản người dùng. Sau đó, chúng sử dụng VPN để giả mạo địa chỉ mạng sao cho khớp với khu vực sinh sống của nạn nhân nhằm đánh lừa thuật toán an ninh. Bước tiếp theo, kẻ gian nhắn tin cho chatbot AI, đóng giả làm chủ tài khoản đang bị mất quyền truy cập và yêu cầu gửi mã khôi phục về một địa chỉ email hoàn toàn mới.

Thay vì kiểm tra xem email này có từng được liên kết với tài khoản hay không, trợ lý AI của Meta lại "ngây thơ" chấp nhận ngay lập tức. Sau khi nhận được mã xác thực qua email, hacker dễ dàng đổi mật khẩu và đá văng chủ nhân thực sự ra ngoài.

Thậm chí, trong trường hợp hệ thống yêu cầu quay video khuôn mặt để xác minh danh tính, kẻ tấn công cũng dễ dàng qua mặt bằng cách dùng các công cụ AI khác để tạo chuyển động từ một bức ảnh công khai của nạn nhân. Tệ hơn, những người dùng nằm trong danh sách thử nghiệm tính năng này của Meta hoàn toàn không có tùy chọn nào để tắt trợ lý AI.

Từ quan chức cấp cao đến thị trường chợ đen

Chỉ trong một khoảng thời gian ngắn, hàng loạt tài khoản có sức ảnh hưởng đã bị thâu tóm. Trong số đó có tài khoản lưu trữ của Nhà Trắng thời cựu Tổng thống Mỹ Barack Obama, tài khoản của Trưởng cố vấn Lực lượng Vũ trụ Mỹ, và cả tài khoản cá nhân của nữ chuyên gia an ninh mạng nổi tiếng Jane Wong. Các tài khoản này sau đó bị lợi dụng để đăng tải các thông điệp tuyên truyền gây tranh cãi trước khi bị xoá.

Tuy nhiên, mục tiêu béo bở nhất của tội phạm mạng lại là những tài khoản có tên người dùng cực ngắn (ví dụ như @hey). Theo ghi nhận từ các nhà nghiên cứu như ZachXBT, một hệ sinh thái ngầm đã bùng nổ trên ứng dụng Telegram, nơi các tin tặc nhận dịch vụ cướp tài khoản và rao bán những tên người dùng giá trị cao với mức giá lên tới 500.000 USD. Nhiều dấu hiệu cho thấy lỗ hổng này đã âm thầm tồn tại nhiều tuần, thậm chí nhiều tháng trước khi bị phanh phui.

Lớp giáp bảo vệ và động thái từ Meta

Ngay sau khi sự việc bùng nổ và các mánh khóe bị lan truyền trên mạng, đại diện của Meta là ông Andy Stone đã xác nhận sự cố và tiến hành tung ra bản vá lỗi khẩn cấp vào cuối tuần qua. Phía công ty cũng nhấn mạnh rằng không có cơ sở dữ liệu hệ thống nào bị rò rỉ.

Một điểm sáng hiếm hoi trong đợt khủng hoảng này là sự bền bỉ của tính năng xác thực đa yếu tố (MFA hay 2FA). Dù AI của Meta tự ý giao chìa khóa cho hacker, nhưng các nguồn tin đều xác nhận rằng tính năng xác thực qua SMS hoặc ứng dụng tạo mã đã hoạt động như một tấm khiên vững chắc, chặn đứng hoàn toàn việc đăng nhập trái phép vào các tài khoản có bật tính năng này.

Nguồn: Vietnamnet.vn, Korben Info, 404 Media