Instagram vừa giải quyết một lỗ hổng bảo mật nghiêm trọng cho phép kẻ tấn công chiếm quyền điều khiển tài khoản người dùng thông qua việc lừa gạt chatbot hỗ trợ của Meta AI. Các báo cáo xuất hiện vào cuối tuần qua trên Reddit và X cho thấy nhiều tài khoản, bao gồm cả các tài khoản cũ của Nhà Trắng thời Obama và lãnh đạo Lực lượng Không gian Hoa Kỳ, đã bị xâm nhập.
Cách thức tấn công
Kẻ tấn công sử dụng VPN để giả mạo vị trí của nạn nhân nhằm tránh kích hoạt các lớp bảo vệ tự động của Instagram. Sau đó, chúng mở cuộc trò chuyện với Trợ lý Hỗ trợ AI của Meta và yêu cầu thêm địa chỉ email mới vào tài khoản mục tiêu. Chatbot gửi mã xác minh đến email của kẻ tấn công; sau khi nhận được mã, chatbot cung cấp nút "Đặt lại mật khẩu", cho phép hacker chiếm toàn bộ quyền kiểm soát tài khoản mà không cần xâm nhập vào hộp thư email chính thống của nạn nhân.
Bối cảnh
Sự cố này làm nổi bật rủi ro của việc triển khai chatbot AI trong các tác vụ nhạy cảm như quản lý tài khoản và khôi phục mật khẩu. Nhà nghiên cứu bảo mật Jane Wong cũng xác nhận tài khoản của cô bị chiếm đoạt theo cách tương tự. Người phát ngôn của Meta, Andy Stone, khẳng định vấn đề đã được khắc phục vào thứ Hai, tuy nhiên số lượng tài khoản bị ảnh hưởng vẫn chưa được công bố cụ thể.
Vì sao đáng chú ý
Đây là minh chứng rõ ràng cho thấy các chatbot hỗ trợ AI có thể trở thành mắt xích yếu nhất trong chuỗi bảo mật nếu không được thiết kế với các quy trình xác thực chặt chẽ. Việc lừa đảo chatbot (bot-tricking) để bỏ qua xác thực đa yếu tố truyền thống là một xu hướng tấn công mới mà các nền tảng lớn cần đặc biệt lưu tâm khi tích hợp AI vào quy trình vận hành.