รายงานล่าสุดเปิดเผยว่า Hacker ได้ทำการเจาะหรือเข้าถึงบัญชีของผู้ใช้จำนวนมาก เช่น บัญชีทำเนียบขาวของ Obama ซึ่งไม่ได้เคลื่อนไหวมาตั้งแต่ปี 2017 หรือบัญชีของ John Bentivegna และ Jane Manchun Wong นักแกะโค้ดชื่อดัง ด้วยวิธีสุดแยบยลอย่างการ “หลอกให้ AI ฝ่ายบริการลูกค้าทำการเปลี่ยนอีเมลบัญชี” โดยไม่ผ่านระบบยืนยันตัวตน
Hacker เจ้าเล่ห์ใช้ช่องโหว่ผ่าน AI เจาะระบบบัญชี IG
จะเรียกว่าใช้ AI ทำงานแทนคนจนได้เรื่องก็คงไม่ผิด TechCrunch เปิดเผยว่าวิธีที่ Hacker ใช้ในการเจาะบัญชีผู้ใช้ต่าง ๆ ก็คือ “การเปลี่ยน VPN” ให้ใกล้เคียงหรือดูเหมือนอยู่ในตำแหน่งเดียวกับเจ้าของบัญชี เพื่อเลี่ยงระบบป้องกันบัญชีอัตโนมัติของ Instagram
จากนั้น Hacker จึงใช้ช่องโหว่สำคัญด้วยการคุยแชทกับ AI ฝ่ายบริการลูกค้า (Support Assistant) ของทาง Meta และป้อนคำสั่งให้ AI Chatbot เปลี่ยนอีเมลที่ใช้สำหรับผูกบัญชีตามที่ระบุ (ตามวิดีโอด้านล่างที่เป็นขั้นตอนแบบละเอียดว่า Hacker ทำยังไงบ้าง)
สิ่งที่ทำให้เป็นปัญหาก็คือ AI Chatbot ดันส่งรหัสยืนยันไปยังอีเมลใหม่ตามที่ Hacker ระบุเอาไว้ และไม่มีการตรวจสอบซ้ำผ่านระบบยืนยันตัวตน 2 ขั้นตอน (2FA) ทำให้ตัว Hacker สามารถเปลี่ยนรหัสผ่านและเข้าควบคุมบัญชีต่าง ๆ ได้อย่างง่ายดาย
อย่างไรก็ดีเมื่อวันจันทร์ที่ผ่านมา Andy Stone โฆษกของทาง Instgram ได้ออกมาเปิดเผยว่าช่องโหว่ดังกล่าวได้ถูกแก้ไขเป็นที่เรียบร้อย แต่ไม่มีการเปิดเผยออกมาว่า “มีบัญชีที่ได้รับผลกระทบทั้งหมดเท่าไหร่” และ Meta ก็ไม่ได้แสดงความคิดเห็นเพิ่มเติมใด ๆ เกี่ยวกรณีที่เกิดขึ้นเพิ่มเติมด้วย
ที่มา: TechCrunch
Comment