Τόσο το ZachXBT όσο και το Dark Web Informer επιβεβαίωσαν τον τρόπο με τον οποίο οι χάκερ στόχευσαν και μεταπώλησαν ιδιαίτερα πολύτιμους λογαριασμούς Instagram, συμπεριλαμβανομένων αυτών με κοντές λαβές @hey και @joo με «συνδυασμένη γκρίζα αξία που εκτιμάται σε πάνω από 1 εκατομμύριο δολάρια». Γκουρού του Cybersec. Τέτοιοι λογαριασμοί μπορεί να είναι πολύτιμοι ακόμα κι αν οι χάκερ «τους κρατούν για λίγες μέρες λόγω επιρροής, μεταπώλησης ή πλαστοπροσωπίας της επωνυμίας», αναφέρει το ιστολόγιο ασφαλείας.
Ευρεία οπή ασφαλείας
Ο γκουρού του cybersec περιγράφει το exploit ότι αντιπροσωπεύει ένα κλασικό Το πρόβλημα «μπερδεμένος βουλευτής». Από την ασφάλεια του υπολογιστή, όπου ένα πρόγραμμα με αυξημένα δικαιώματα εξαπατάται για να κάνει κατάχρηση αυτών των δικαιωμάτων εκ μέρους ενός λιγότερο προνομιούχου τρίτου μέρους. Αλλά σε αυτήν την περίπτωση, ο “αναπληρωτής” ήταν ένα μεγάλο γλωσσικό μοντέλο με “σκληρούς κωδικούς όρους που πρέπει να παρακάμψεις με κώδικα” και όχι ένα “ντετερμινιστικό πρόγραμμα” και όχι ένα “πιθανολογικό μοντέλο απόκρισης που μπορείς να προωθήσεις με λέξεις”.
Αξίζει να σημειωθεί ότι απλές λύσεις ασφαλείας ήταν διαθέσιμες στους χρήστες, ακόμη και όταν τα chatbot υποστήριξης Meta AI γινόταν αντικείμενο εκμετάλλευσης. Οι χάκερ ανέφεραν ότι η εκμετάλλευσή τους απέτυχε έναντι οποιουδήποτε λογαριασμού που επέτρεπε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), συμπεριλαμβανομένης της «λιγότερο ισχυρής μορφής MFA που προσφέρει το Instagram» με τη μορφή ενός εφάπαξ κωδικού που αποστέλλεται μέσω SMS. KrebsOnSecurity.
Ωστόσο, το exploit εξακολουθεί να υπογραμμίζει μεγαλύτερους κινδύνους για τις εταιρείες τεχνολογίας και άλλους οργανισμούς που σπεύδουν να αναπτύξουν πράκτορες AI με αυξημένα δικαιώματα που τους επιτρέπουν να τροποποιούν, να δημιουργούν ή να διαγράφουν κρίσιμα δεδομένα. Το Meta ξεκίνησε Βοηθός υποστήριξης Meta AI τον Μάρτιο του 2026, υποσχόμενη ότι μπορεί να “παρέχει αξιόπιστη, 24/7 υποστήριξη για σχεδόν οποιοδήποτε ζήτημα υποστήριξης ανά πάσα στιγμή.”
Σύμφωνα με τον γκουρού του cybersec, η “ελάχιστη” αρχιτεκτονική που απαιτείται για να γίνει αυτό με μεγαλύτερη ασφάλεια θα περιλαμβάνει “επαλήθευση εκτός ζώνης πριν από οποιαδήποτε αλλαγή λογαριασμού… Τεχνητή νοημοσύνη επαναφοράς ροής που περιορίζει τα σήματα κινδύνου λογαριασμού, καταγραφή ενεργειών με ανίχνευση ανωμαλιών για ασυνήθιστες αλλαγές λογαριασμών βάσει τεχνητής νοημοσύνης και σκληρό ανίχνευση”.
