به گزارش سی‌بوم، شرکت متا در آذر ۱۴۰۴ از یک دستیار هوش مصنوعی برای پشتیبانی کاربران رونمایی کرد و وعده داد این ابزار روند بازیابی حساب‌های فیس‌بوک و اینستاگرام را ساده‌تر و سریع‌تر می‌کند. اما اکنون پژوهشگران امنیتی می‌گویند همین ابزار به نقطه ضعف امنیتی مهمی تبدیل شده و هکرها توانسته‌اند از آن برای تصاحب حساب‌های اینستاگرام استفاده کنند.
بر اساس گزارش‌ها، این نقص امنیتی حتی امکان دور زدن احراز هویت دومرحله‌ای (2FA) را نیز فراهم می‌کرد؛ لایه‌ای که معمولاً یکی از مهم‌ترین ابزارهای محافظتی در برابر نفوذ به حساب‌های کاربری محسوب می‌شود.
این مشکل در روزهای اخیر توسط چندین پژوهشگر امنیتی در شبکه اجتماعی ایکس افشا شد. به گفته آن‌ها، راهنمای استفاده از این آسیب‌پذیری شامل آموزش‌ها، تصاویر و ویدئوها در برخی کانال‌های تلگرامی منتشر شده بود و به سرعت میان کاربران و هکرها دست‌به‌دست می‌شد.
طبق این گزارش‌ها، مهاجمان می‌توانستند از چت‌بات پشتیبانی متا درخواست کنند ایمیل متصل به یک حساب کاربری را تغییر دهد. پس از تغییر ایمیل، هکرها قادر بودند درخواست بازنشانی رمز عبور بدهند و در نهایت کنترل کامل حساب را به دست بگیرند.
متا اعلام کرده که این آسیب‌پذیری اکنون برطرف شده و تیم‌های امنیتی در حال بررسی و ایمن‌سازی حساب‌هایی هستند که ممکن است تحت تأثیر قرار گرفته باشند. با این حال، هنوز مشخص نیست پیش از رفع مشکل چه تعداد حساب کاربری هک شده‌اند.
گزارش‌ها نشان می‌دهد کاربران در برخی کانال‌های تلگرامی دست‌کم از اسفند ۱۴۰۴ درباره این نقص امنیتی صحبت می‌کردند. «اندی استون» مدیر ارتباطات متا نیز تأیید کرده که مشکل برطرف شده و اقدامات لازم برای محافظت از حساب‌های آسیب‌دیده در حال انجام است.
بر اساس اطلاعات منتشرشده، دستیار هوش مصنوعی متا برای تأیید هویت کاربران تا حدی به موقعیت جغرافیایی آن‌ها متکی بوده است. هکرها با استفاده از وی‌پی‌ان می‌توانستند موقعیت خود را مشابه موقعیت قربانی نشان دهند و سیستم را فریب دهند.
زمان افشای این آسیب‌پذیری هم‌زمان با گزارش‌هایی از هک شدن برخی حساب‌های شناخته‌شده بوده است. از جمله حساب «کاخ سفید در دوره اوباما» که پس از سال‌ها سکوت، تصویری تولیدشده با هوش مصنوعی منتشر کرد. همچنین گزارش شده حساب‌های متعلق به برند Sephora و یکی از مقام‌های ارشد نیروی فضایی آمریکا نیز ممکن است از همین نقص امنیتی آسیب دیده باشند.
جمع‌بندی
ماجرای این نقص امنیتی نشان می‌دهد استفاده از هوش مصنوعی در سامانه‌های پشتیبانی و احراز هویت اگر بدون طراحی دقیق انجام شود، می‌تواند خود به نقطه ضعف امنیتی تبدیل شود. در حالی که شرکت‌های فناوری به سرعت در حال استفاده از ابزارهای AI برای خودکارسازی خدمات هستند، این اتفاق بار دیگر اهمیت آزمون‌های امنیتی سخت‌گیرانه در چنین سیستم‌هایی را یادآوری می‌کند.