Meta, một trong những ông lớn công nghệ hàng đầu thế giới, đã phải đối mặt với một sự cố bảo mật đáng báo động khi đặc vụ hỗ trợ AI của họ bị lợi dụng để chiếm đoạt tài khoản người dùng một cách đơn giản đến bất ngờ. Điều đáng lo ngại nhất là các trung tâm vận hành an ninh (SOC) của Meta hoàn toàn không nhận được bất kỳ cảnh báo nào về những cuộc tấn công này. 🤔
Các tác nhân được ủy quyền thường ghi lại nhật ký các giao dịch hợp lệ, do đó không có gì trong hệ thống phát hiện bị kích hoạt. Tin tặc chỉ cần yêu cầu bot thực hiện thay đổi, lấy mã dùng một lần mà nó gửi, rồi thực hiện đặt lại mật khẩu – theo báo cáo của 404 Media. Không có mã độc, không đánh cắp thông tin đăng nhập, và cũng không có “tiêm lệnh” (prompt injection) theo cách mà hầu hết các đội bảo mật vẫn thường tập luyện. Đặc vụ AI đã làm chính xác những gì Meta thiết kế nó phải làm. Đây chính là điều khiến một lãnh đạo vận hành an ninh phải trăn trở: Việc chiếm đoạt tài khoản không phá vỡ một cơ chế kiểm soát nào, mà nó đã lợi dụng một cơ chế vốn dĩ được tin cậy.
Điều một SOC cần là một cách để kiểm tra từng đường dẫn khôi phục thông qua một lưới kiểm toán (audit grid) với đội ngũ phát triển AI trước khi chu kỳ gia hạn tiếp theo kết thúc. Lưới Kiểm Toán Quyền Hạn AI (AI Authority Audit Grid) ở cuối bài viết này sẽ ánh xạ mọi hành động ghi xác thực mà một đặc vụ hỗ trợ có thể thực hiện trên đường dẫn khôi phục, những gì sự cố của Meta đã chứng minh về từng hành động, tại sao nó lại “tối” đối với SOC, và biện pháp kiểm soát để khắc phục.
Đặc Vụ Là Một Tác Nhân Được Ủy Quyền, Vì Vậy SOC Coi Việc Chiếm Đoạt Là Giao Thức Thông Thường
Từ bên trong hệ thống phát hiện, cuộc tấn công không tạo ra tín hiệu nào mà hệ thống có thể đọc được. Đặc vụ liên kết một email mới, sau đó đặt lại mật khẩu, và nhật ký quản lý danh tính và quyền truy cập (IAM) ghi lại cả hai hành động như một tác nhân được ủy quyền. Do đó, mỗi hành động đều được xem là giao dịch hợp lệ. Không có đăng nhập bất thường, không có sự gia tăng lỗi xác thực, không có gì cho EDR hay DLP, không có quy tắc SIEM nào để khớp, vì không có gì trong chuỗi sự kiện trông giống một cuộc tấn công. Việc chiếm đoạt diễn ra bên trong ranh giới tin cậy mà hệ thống giả định là an toàn. Không có “chỗ đứng” nào để tìm, bởi vì đặc vụ chính là “chỗ đứng” đó, và nó được cho là phải ở đó.
Chuỗi tấn công gần như đơn giản đến mức đáng khinh. Brian Krebs đã ghi lại phiên bản mà các hacker thân Iran đăng lên Telegram vào ngày 31 tháng 5. Kẻ tấn công bật VPN để xuất hiện trong khu vực của nạn nhân, lách qua các cảnh báo vị trí của Instagram, sau đó yêu cầu trợ lý hỗ trợ thêm một email mới và gửi mã xác minh – BBC đã xác nhận từ các bản ghi tương tự. Bot đã tuân thủ, gửi mã dùng một lần trực tiếp cho kẻ tấn công, Gizmodo đưa tin. Việc đặt lại mật khẩu hoàn tất và chủ sở hữu bị khóa tài khoản chỉ trong vài phút. Theo Krebs, lỗ hổng này thất bại đối với bất kỳ tài khoản nào đã bật MFA.
Các tài khoản bị chiếm đoạt không phải là mục tiêu dễ dàng. Chúng bao gồm Sephora, lãnh đạo cấp cao của Lực lượng Không gian Hoa Kỳ – Tổng Chuẩn tướng John Bentivegna, nhà nghiên cứu Jane Manchun Wong, và một tài khoản Nhà Trắng dưới thời Obama không hoạt động đã đăng một hình ảnh bị làm xấu trong một thời gian ngắn, theo 404 Media. Meta đã bác bỏ thông tin về tài khoản của Obama, theo TechCrunch, và gọi những tuyên bố rằng tài khoản của các lãnh đạo bị xâm phạm là “hoàn toàn sai sự thật,” theo BBC. Các trường hợp còn lại đều đúng.
MFA Đã Giữ Vững. Đường Dẫn Khôi Phục Bên Cạnh Thì Không.
Chi tiết quyết định ai sống sót là rất nhỏ. Krebs báo cáo rằng cuộc tấn công đã thất bại đối với bất kỳ tài khoản nào có xác thực đa yếu tố (MFA), kể cả SMS. Lỗ hổng nằm ở đường dẫn khôi phục bên cạnh. Khi đường dẫn đó yêu cầu video selfie, tin tặc đã sử dụng ảnh công khai của mục tiêu thông qua một công cụ tạo video AI và gửi đoạn clip, mà Meta đã chấp nhận là xác minh danh tính hợp lệ, gHacks báo cáo. Dù bằng cách nào, lỗi là ở cửa khôi phục, chứ không phải cửa đăng nhập mà MFA bảo vệ.
Điều này biến đây thành một vấn đề kiến trúc, chứ không phải chỉ là vấn đề của Meta. MFA kiểm soát đường dẫn đăng nhập cho cả chủ sở hữu và kẻ tấn công, nhưng đường dẫn khôi phục lại chạy song song, được xây dựng để nới lỏng các kiểm tra thông thường vì nó tồn tại cho những lúc người dùng mất quyền truy cập thông thường. Meta đã đặt một đặc vụ trên đường dẫn đó với quyền ghi vào trạng thái xác thực và không có kiểm tra xác định nào giữa một yêu cầu thuyết phục và một thay đổi đã được cam kết. Ủy quyền không thể nằm bên trong mô hình, vì một hệ thống đối thoại có thể bị thuyết phục bỏ qua một kiểm tra. Nó phải nằm bên ngoài mô hình, trong một cổng mà đặc vụ không thể tự biện minh để vượt qua. Các nhà nghiên cứu bảo mật có một tên cho mô hình này, “phó tướng nhầm lẫn” (confused deputy), một hệ thống đáng tin cậy bị lừa để sử dụng các đặc quyền của nó thay mặt kẻ tấn công.
Đây không phải là đặc vụ hỗ trợ cuối cùng sẽ giao tài khoản cho kẻ xấu. Ian Goldin, nhà nghiên cứu mối đe dọa tại Black Lotus Labs của Lumen, nói với Krebs on Security rằng các bot AI dễ bị tấn công kỹ thuật xã hội như các đặc vụ con người mà chúng thay thế, và cũng háo hức giúp đỡ. “Chatbot AI tạo ra bề mặt tấn công mới thú vị, và chúng ta có thể sẽ thấy nhiều cuộc tấn công kiểu này hơn nữa,” Goldin nói. Mọi doanh nghiệp kết nối một đặc vụ vào luồng khôi phục, cấp phép, hoặc đặt lại mật khẩu đều đang cung cấp quyền ghi tương tự như Meta đã làm.
Simon Willison, người đã đặt ra thuật ngữ “tiêm lệnh” (prompt injection), đã nói rõ trên blog của mình. “Meta thực sự đã kết nối hệ thống hỗ trợ của họ với một chatbot AI có khả năng tăng tốc toàn bộ quá trình khôi phục tài khoản,” ông viết. “Trường hợp này thậm chí khó có thể coi là một cuộc tấn công tiêm lệnh. Đừng kết nối bot hỗ trợ của bạn để cho phép chiếm đoạt tài khoản chỉ bằng một lần thao tác.” Kẻ tấn công chưa bao giờ lừa được đặc vụ. Kẻ tấn công chỉ yêu cầu, và đặc vụ có đầu vào không đáng tin cậy, quyền ghi, và một cách để thực thi, tất cả cùng một lúc.
OWASP đã gọi tên loại lỗ hổng này trước khi Meta phát hành nó, là “Lạm dụng Quyền Hạn Quá mức” (Excessive Agency) tại LLM06 và “Lạm dụng Danh tính và Đặc quyền” (Identity and Privilege Abuse) tại ASI03 trong Top 10 AI Tác Nhân. Nhãn cảnh báo đã có trên hộp: Meta đã đẩy trợ lý này tới mọi tài khoản Facebook và Instagram vào tháng 3, theo 404 Media, với quyền đặt lại mật khẩu và xử lý khôi phục, trang sản phẩm hứa hẹn “giải pháp, không chỉ gợi ý” dưới dòng “bảo mật và khôi phục tài khoản.” Meta đã trao quyền cho đặc vụ mà không xây dựng cánh cổng để quản lý nó.
Lưới Kiểm Toán Quyền Hạn AI (The AI Authority Audit Grid)
Các lãnh đạo vận hành an ninh cần thực hiện kiểm toán này đối với đặc vụ hỗ trợ của riêng họ trước khi chu kỳ gia hạn tiếp theo kết thúc. Mỗi hàng là một hành động ghi xác thực mà đặc vụ thực hiện trên đường dẫn khôi phục, cùng với những gì Meta đã chứng minh, tại sao hệ thống của bạn bỏ sót, và biện pháp kiểm soát để khắc phục.
| Loại tác vụ xác thực | Điều Meta đã chứng minh | Tại sao hệ thống của bạn bỏ sót | Biện pháp kiểm soát doanh nghiệp và chủ sở hữu | |--------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|---------------------------------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Xác thực đăng nhập (MFA, yêu cầu yếu tố) | Giữ vững trên đường dẫn đăng nhập. Các tài khoản có bật MFA, kể cả SMS, đều an toàn (Krebs). Lỗ hổng nằm ở đường dẫn khôi phục bên cạnh. | MFA bảo vệ đường dẫn đăng nhập cho cả chủ sở hữu và kẻ tấn công. Nhưng nó không bảo vệ đường dẫn khôi phục. | Áp dụng MFA làm tiêu chuẩn cơ bản và mở rộng xác minh tăng cường cho đường dẫn khôi phục, với cùng một tiêu chuẩn như đăng nhập (OWASP). Video selfie không phải là bằng chứng nhận dạng. Bất kỳ đặc vụ nào hoạt động trên đường dẫn không được MFA bảo vệ đều không vượt qua kiểm toán. Chủ sở hữu: IAM. | | Thay đổi email liên kết | Chiếm đoạt hoàn toàn. Đặc vụ đã liên kết email do kẻ tấn công kiểm soát theo yêu cầu, chiếm đoạt tài khoản Sephora và một tài khoản của Lực lượng Không gian Hoa Kỳ (404 Media). | IAM ghi lại đặc vụ là một tác nhân được ủy quyền, do đó việc liên kết lại được xem là giao dịch hợp lệ và không có cảnh báo nào đến SOC hay chủ tài khoản. | Xác nhận ngoài băng tần (out-of-band) với liên hệ đã xác minh hiện có trước khi bất kỳ thay đổi nào được cam kết, được kiểm soát bên ngoài mô hình, và thông báo cho địa chỉ cũ ngay khi thay đổi (IBM). Một đặc vụ liên kết lại mà không xác nhận địa chỉ cũ sẽ thất bại. Chủ sở hữu: IAM và kỹ thuật nền tảng. | | Đặt lại mật khẩu | Chiếm đoạt hoàn toàn trong vài phút. Nhà nghiên cứu Jane Manchun Wong nằm trong số các tài khoản bị ảnh hưởng (404 Media). | Việc đặt lại chạy trên đường dẫn khôi phục, bên ngoài kiểm tra MFA đăng nhập, do đó không có yêu cầu yếu tố nào kích hoạt và không có quy tắc phát hiện nào được kích hoạt. | Yêu cầu một yếu tố thứ hai không phải email trước khi bất kỳ việc đặt lại nào hoàn tất. NIST đã loại bỏ email như một kênh ngoài băng tần hợp lệ (NIST 800-63B). Việc đặt lại của đặc vụ phải vượt qua cùng một cổng như việc đặt lại của con người. Chủ sở hữu: IAM. | | Thay đổi phương thức khôi phục | Khóa tài khoản dai dẳng. Nạn nhân không thể tự khôi phục. Vòng lặp hỗ trợ chỉ cung cấp AI mà không có leo thang lên con người (BleepingComputer). | Việc thay đổi thầm lặng email hoặc số điện thoại khôi phục loại bỏ đường dẫn truy cập lại của chủ sở hữu mà không có tầm nhìn SOC. | Yêu cầu xem xét tăng cường (step-up review) đối với bất kỳ thay đổi nào, thông báo cho phương thức trước đó, và cấp quyền truy cập bị trì hoãn, giới hạn phạm vi sau khi khôi phục để việc thay đổi không bao giờ trao quyền kiểm soát ngay lập tức (Authsignal). Giữ một đường dẫn leo thang lên con người mà đặc vụ không thể đóng. Chủ sở hữu: GRC và vận hành CNTT. | | Thực thi hành động tài khoản | Rủi ro tốc độ. Một tài khoản Nhà Trắng dưới thời Obama không hoạt động đã nhanh chóng hiển thị một hình ảnh bị làm xấu trong đợt tấn công, một tài khoản mà Meta tranh cãi không bị chiếm đoạt theo cách này (TechCrunch). | Đặc vụ thực hiện các thay đổi trạng thái không thể đảo ngược trong vài giây mà không có sự can thiệp của con người và không có cửa sổ phục hồi. | Tách biệt quyết định khỏi việc thực thi. Đặc vụ chỉ đề xuất hành động. Một dịch vụ chính sách xác thực phạm vi và phê duyệt trước khi nó chạy, với phê duyệt ràng buộc với hành động chính xác (OWASP). Không có ghi trạng thái xác thực nào được cam kết mà không có cổng đó và một cửa sổ phục hồi. Chủ sở hữu: Kỹ thuật nền tảng và đội phát triển AI. | | Ghi nhật ký hành động của đặc vụ | Khoảng cách phát hiện. Việc chiếm đoạt không để lại cảnh báo nào, và Meta chưa công bố có bao nhiêu tài khoản đã bị ảnh hưởng trước khi được vá lỗi (TechCrunch). | Nếu không có dữ liệu đo từ xa theo từng hành động được đưa vào SIEM, việc chiếm đoạt bởi một đặc vụ được ủy quyền sẽ vô hình đối với SOC. | Phát ra siêu dữ liệu quyết định có cấu trúc cho mỗi ghi trạng thái xác thực vào SIEM: lớp hành động, kết quả ủy quyền, ID phê duyệt, kết quả, phiên bản chính sách (OWASP). Một hành động ghi mà SIEM của bạn không thể nhìn thấy là một hành động mà bạn không thể bảo vệ. Chủ sở hữu: SOC và kỹ thuật phát hiện. |
Giải pháp không phải là gắn thêm một lời nhắc MFA khác vào màn hình đăng nhập. Những người sống sót trong sự cố của Meta là những người đã có sẵn cơ chế kiểm soát đó.
Giải pháp là đưa ủy quyền ra khỏi hệ thống “tự giác” của đường dẫn khôi phục và đặt nó phía sau một cánh cổng không bị thay đổi chỉ vì một yêu cầu nghe có vẻ thuyết phục. Hãy xây dựng đặc vụ sao cho SOC nhìn thấy mọi hành động ghi mà nó thực hiện, và bất kỳ hành động ghi nào thay đổi quyền sở hữu tài khoản đều không thể được cam kết nếu không có một kiểm tra mà mô hình không thể kiểm soát.
Meta vừa cho thấy điều gì sẽ xảy ra khi nhân viên đáng tin cậy nhất trong đội cũng là người nắm giữ chìa khóa. Đặc vụ tương tự tiếp theo có thể đã và đang đọc tài sản trí tuệ và tài chính của bạn rồi đấy. 🚨