Chuyển đến nội dung
tinAI
Quay lại

Meta xác nhận hàng nghìn tài khoản Instagram bị chiếm vì hacker dụ AI chatbot reset password

Bản dịch tiếng Việt của tinAI · Từ Meta confirms thousands of Instagram accounts were hacked by abusing its AI chatbot (this.weekinsecurity.com) · Ngày gốc: · Dịch ngày:

Bài gốc: Meta confirms thousands of Instagram accounts were hacked by abusing its AI chatbot (this.weekinsecurity.com)

Tác giả: Zack Whittaker

Ngày đăng: Dịch ngày:

TL;DR

20.225 tài khoản Instagram bị chiếm trong gần 7 tuần khi hacker lừa chatbot AI account recovery của Meta gửi password reset link đến email lạ. Lỗ hổng nằm ở code path verify email — chatbot không kiểm tra email do user nhập có khớp với account hay không.

Ước tính đọc: 3 phút

Tóm tắt

Meta vừa thông báo cho hàng nghìn người dùng Instagram rằng tài khoản của họ đã bị chiếm trong một chiến dịch tấn công kéo dài nhiều tháng. Hacker khai thác chatbot AI hỗ trợ account recovery của Meta bằng cách hỏi chatbot gửi password reset link đến email tự chọn — và hệ thống làm theo dù email đó không liên quan gì đến account.

Theo data breach notice mà Meta gửi cho Maine attorney general, ít nhất 20.225 người đã bị chiếm account, trong đó có 30 người ở Maine. Chiến dịch tấn công bắt đầu từ khoảng 17/4 và kéo dài đến tận đầu tháng 6/2026 khi Meta phát hiện và disable chatbot.

Cơ chế tấn công

Meta xác nhận trong notice rằng vụ rò rỉ liên quan đến “vulnerability trong AI-assisted account recovery system của Instagram,” bị khai thác để “thực hiện password reset trên các Instagram user account.”

Vấn đề kỹ thuật cụ thể:

“Tool itself worked properly and functioned as intended; however due to a bug in a separate code path, the system did not properly verify that the email address provided by the individual requesting a password reset matched the email address associated with that user’s Instagram account.”

“As a result, when an individual provided an email address not previously associated with the account, the system incorrectly sent a password reset link to that unassociated email rather than rejecting the request. This allowed unauthorized third parties to receive a password reset link for accounts they did not own.”

Trình tự khai thác:

  1. Attacker mở chat với Meta AI support chatbot, nói “I’ve been hacked”
  2. Cung cấp username của target và một email do attacker kiểm soát
  3. Chatbot gửi password reset link đến email của attacker thay vì reject
  4. Attacker reset password và chiếm full account

Lỗ hổng chỉ ảnh hưởng các account không bật two-factor authentication.

Phạm vi ảnh hưởng

Khi chiếm được account, hacker có toàn quyền truy cập:

Meta nói “unaware” việc thông tin cá nhân nào đã thực sự bị truy cập trong các vụ chiếm account này.

Phản ứng của Meta

Không rõ vì sao chatbot lại có quyền trigger password reset mà không qua verification layer. Vụ việc xảy ra ngay sau khi Meta layoff hàng nghìn nhân viên và tăng tốc đầu tư vào AI.

Bài học cho developer

Chatbot không phải authorization layer. Khi gắn LLM vào critical flow:

Đây là counter-example sẵn để show cho stakeholder khi ai đó đề xuất “để AI tự handle account recovery cho đỡ tốn engineer.”


Đường dẫn nguồn

tinAI dịch bài này sang tiếng Việt từ Meta confirms thousands of Instagram accounts were hacked by abusing its AI chatbot (this.weekinsecurity.com) · Loại nguồn: web và giữ bối cảnh từ bản tin tinAI đã giới thiệu bài này .

Bản tin này có 3 bài dịch liên quan từ cùng bản tin.