Een opvallend beveiligingslek bij Meta maakte het mogelijk om Instagram-accounts over te nemen door simpelweg de AI-chatbot om hulp te vragen. Het lek werd inmiddels gedicht, maar zorgde wel voor de overname van verschillende accounts.
Hoe werkte de aanval?
Hackers maakten gebruik van de AI Support Assistant van Meta. Door zich via een VPN voor te doen als iemand uit dezelfde regio als het slachtoffer, konden ze de chatbot vragen om een nieuw e-mailadres aan een account te koppelen. Vervolgens stuurde de chatbot een verificatiecode naar dat nieuwe adres en liet hij toe het wachtwoord te resetten.
Opvallend genoeg hadden de aanvallers geen toegang nodig tot het oorspronkelijke e-mailadres van het slachtoffer. De AI voerde de wijziging gewoon uit zonder voldoende controles.
Bekende accounts getroffen
Onder de getroffen accounts bevonden zich onder meer het voormalige Instagram-account van het Witte Huis uit de Obama-periode, cosmeticaketen Sephora en verschillende bekende gebruikers en onderzoekers. Hoeveel accounts exact getroffen zijn, is niet bekend.
Lek inmiddels opgelost
Meta bevestigt dat het probleem inmiddels is opgelost en dat getroffen accounts worden beveiligd. Het incident zorgt wel voor extra vragen over het gebruik van AI voor gevoelige taken zoals accountherstel en identiteitscontrole.
Belangrijke les
De zaak toont aan dat AI-systemen niet blindelings vertrouwd mogen worden voor beveiligingsprocessen. Voor gebruikers blijft het verstandig om extra beveiliging zoals tweestapsverificatie in te schakelen. Zo wordt het veel moeilijker om een account over te nemen, zelfs wanneer er ergens een beveiligingslek opduikt.
