top of page
Tìm kiếm

Lỗ hổng từ chatbot AI của Meta khiến hàng vạn tài khoản Instagram bị hack

Một sự cố bảo mật nghiêm trọng vừa được Meta xác nhận khi công cụ hỗ trợ bằng trí tuệ nhân tạo (AI) bị tin tặc lạm dụng, dẫn đến nguy cơ rò rỉ thông tin và mất quyền kiểm soát tài khoản của hàng nghìn người dùng trên nền tảng Instagram.

Những tài khoản nào bị ảnh hưởng bởi sự cố bảo mật này?

Khoảng 20.000 tài khoản Instagram đã lọt vào tầm ngắm và bị tin tặc tấn công thông qua việc lạm dụng tính năng khôi phục tài khoản. Đáng chú ý, danh sách nạn nhân bao gồm cả những tài khoản có sức ảnh hưởng lớn như trang mạng xã hội của Nhà Trắng thời cựu Tổng thống Obama, thương hiệu mỹ phẩm Sephora và Thượng sĩ trưởng Lực lượng Vũ trụ Mỹ John Bentivegna.

Lỗ hổng từ chatbot AI của Meta khiến hàng vạn tài khoản Instagram bị hack
Lỗ hổng từ chatbot AI của Meta khiến hàng vạn tài khoản Instagram bị hack

Nhiều tài khoản sau khi bị chiếm quyền điều khiển đã bị rao bán công khai trên các trang web đen. Thậm chí, một số tội phạm mạng còn chia sẻ rộng rãi các video và tài liệu hướng dẫn chi tiết từng bước để thực hiện hành vi tấn công này.

Tin tặc đã lợi dụng lỗ hổng công nghệ này như thế nào?

Sự việc bắt nguồn từ việc khai thác công cụ Hỗ trợ Cấp cao (HTS - High Touch Support), một tính năng được thiết kế để giúp người dùng lấy lại quyền truy cập khi họ bị khóa tài khoản. Vào ngày 31/5, Meta đã phát hiện ra hành vi lạm dụng này.

Về bản chất, công cụ HTS vẫn hoạt động bình thường theo thiết kế. Tuy nhiên, một lỗi nghiêm trọng xuất hiện trong một luồng mã riêng biệt đã khiến hệ thống không xác minh tính chính xác của dữ liệu.

  • Kẻ xấu gửi yêu cầu hỗ trợ đến chatbot AI và cung cấp một địa chỉ email hoàn toàn mới, chưa từng liên kết với tài khoản mục tiêu.

  • Do lỗi hệ thống, chatbot không kiểm tra xem email người yêu cầu cung cấp có trùng khớp với email gốc của tài khoản Instagram đó hay không.

  • Thay vì từ chối, hệ thống lại gửi sai liên kết đặt lại mật khẩu về địa chỉ email lạ của tin tặc.


Những thông tin nào của người dùng có nguy cơ bị rò rỉ?

Mặc dù phía Meta chưa đưa ra khẳng định chắc chắn về việc các thông tin cá nhân lưu trữ sâu bên trong đã bị xem trộm hay chưa, nhưng khi chiếm được quyền đăng nhập, kẻ tấn công hoàn toàn có thể tiếp cận một lượng lớn dữ liệu nhạy cảm.

Các thông tin này bao gồm: thông tin hồ sơ cá nhân, địa chỉ email, số điện thoại, ngày sinh, toàn bộ nội dung các cuộc hội thoại trong tin nhắn trực tiếp, các bài đăng công khai hoặc riêng tư, cùng với lịch sử hoạt động và nhật ký tương tác của chủ tài khoản trên nền tảng.

Meta đã thực hiện những biện pháp gì để khắc phục sự cố?

Ngay sau khi phát hiện lỗ hổng, Meta đã lập tức triển khai các bước xử lý khẩn cấp nhằm ngăn chặn thiệt hại lan rộng:

  • Xử lý kỹ thuật: vô hiệu hóa hoàn toàn công cụ HTS bị lạm dụng và cam kết chỉ mở lại khi lỗ hổng đã được vá triệt để. Đồng thời, hủy bỏ hiệu lực của tất cả các đường dẫn đặt lại mật khẩu lỗi do hệ thống tự tạo ra trước đó.

  • Bảo vệ người dùng: đưa các tài khoản có nguy cơ bị ảnh hưởng vào một trạm kiểm tra an toàn bắt buộc và cưỡng chế đặt lại mật khẩu mới. Công ty cũng đang tiến hành gửi thông báo sớm nhất đến người dùng để khuyên họ kiểm tra kỹ cài đặt bảo mật và bật tính năng xác thực hai lớp 2FA.

  • Báo cáo cơ quan chức năng: Meta đã thông báo vụ việc tới văn phòng Tổng chưởng lý bang Maine với số lượng cá nhân có khả năng bị ảnh hưởng là 20.225 người. Tuy nhiên, bà Amber Hannah, Phó tổng cố vấn pháp lý phụ trách phản ứng sự cố của Meta, nhận định con số thực tế có thể ít hơn do hệ thống thống kê cả những trường hợp người dùng hợp pháp tự thực hiện đổi mật khẩu trong điều kiện không bật 2FA.

Giải pháp xây dựng “lá chắn số” cho các doanh nghiệp

Để bảo vệ toàn diện hạ tầng số và thông tin dữ liệu trước các lỗ hổng công nghệ phức tạp, doanh nghiệp có thể tham khảo các giải pháp tối ưu tại dịch vụ an ninh mạng IPSIP Việt Nam

Giải pháp an ninh mạng IPSIP Việt Nam
Giải pháp an ninh mạng IPSIP Việt Nam

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động không ngừng nghỉ 24/7 như Trung tâm Giám sát An ninh mạng (SOC), Trung tâm Điều hành Mạng lưới (NOC) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm. Sự đồng hành của những bộ óc kỹ thuật hàng đầu sẽ giúp doanh nghiệp tháo gỡ hoàn toàn rủi ro pháp lý và giải phóng nguồn lực cho các mục tiêu tăng trưởng. 


Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
linkedin ipsip vietnam
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page