修复办法是在前端界面隐蔽 AI 助手:
黑灰产团伙重要对准高价值的 Instagram 账户,这些账户应用的用户 ID 平日异常短,黑客经由过程劫持这些账号并转售获得跨越 100 万美元的不法收益,被安然研究员曝光后 Meta 宣布消息称已经修复马脚,并且正在处理被盗的账户。
在 Meta 称已经修复马脚后仍然有效户账户被盗,就连 Meta 本身的产品治理总监 Esther Crawford (曾任 X/Twitter 产品治理总监) 的 Instagram 账号都被黑客窃取,为什么会产生这种问题呢?因为 Meta 压根没有修复马脚,只是简单的将 AI 账户恢复助手早年端页面隐蔽。
有经验的黑客很轻易发明 AI 账户恢复助手 API 端点仍然可以拜访,所以黑灰产团伙直接搭建 Telegram 机械人和脚本对象可以经由过程 API 与 AI 账户恢复助手进行交互,这个过程甚至要比早年端界面手动拜访更简单,也就是全部操作效力更高,让黑灰产团伙可以以更快的速度窃取更多账户。
全部进击过程不涉及 Meta 的数据库、后端办事器或马脚应用,仅仅只是应用 AI 账户恢复助手的高权限逻辑问题,即 Meta 付与 AI 账户恢复助手太高的权限,但却没有做好提示词进击防护,是以黑客可以经由过程提示词引诱 AI 账户恢复助手合营黑客重置特定账户的暗码和绑定的邮箱。
启用 2FA 验证也无法避免被盗:
在之前的报道中提到假如用户账户已经绑定 2FA 验证则无法被盗,因为 AI 账户恢复助手不克不及直接绕过 2FA 保护。不过如今来看情况可能有些差别,在 Meta 宣布修复后,有名逆向工程师 Jane Manchun Wong 的账号也被盗,她的账号本身已经启用 2FA 验证。
由此来看 AI 账户恢复助手重置邮箱后或许也能解绑用户已经绑定的 2FA 验证,平日直接经由过程邮箱是无法解绑 2FA 的,估计又是黑客应用某种提示词引诱 AI 账户恢复助手解绑账户 2FA 验证,所以如今情况异常纷乱,而 Meta 还未宣布任何信息回应这件事。
发表评论 取消回复