Meta-ს ხელოვნური ინტელექტის მხარდაჭერის ჩათბოტში დაშვებულმა პროგრამულმა შეცდომამ მასშტაბური კიბერუსაფრთხოების ინციდენტი გამოიწვია. კომპანიის მიერ მენის შტატის მარეგულირებელ ორგანოში გაგზავნილი შეტყობინების თანახმად, ჰაკერებმა 20 225-მდე Instagram ანგარიშის გატაცება შეძლეს.

ინციდენტი 31 მაისს დაიწყო და კომპანიამ მისი აღმოფხვრა მხოლოდ 1 ივნისს მოახერხა. Meta-ს კომუნიკაციების ხელმძღვანელის, ენდი სტოუნის განცხადებით, სისტემაში არსებული „ბაგი“ ჰაკერებს საშუალებას აძლევდა, პაროლის აღდგენის მოთხოვნა ისე გაეგზავნათ, რომ არ სჭირდებოდათ ორფაქტორიანი ავთენტიფიკაციის გავლა.

როგორ მუშაობდა ჰაკერული სქემა

პრობლემა მდგომარეობდა ჩათბოტის კოდის ერთ-ერთ მონაკვეთში, რომელიც პაროლის აღდგენის დროს ელექტრონული ფოსტის მისამართების ვერიფიკაციას ვერ ახდენდა. როდესაც მომხმარებელი ითხოვდა პაროლის შეცვლას, სისტემა არ ამოწმებდა, ემთხვეოდა თუ არა მოთხოვნაში მითითებული მეილი კონკრეტულ ანგარიშს.

შედეგად, ჰაკერებს შეეძლოთ საკუთარი ელექტრონული ფოსტის მისამართი მიეთითებინათ, რაზეც სისტემა ავტომატურად აგზავნიდა პაროლის აღდგენის ბმულს. ამ გზით თავდამსხმელები სხვის ანგარიშებზე წვდომას მარტივად იღებდნენ.

გავლენა მაღალი პროფილის ანგარიშებზე

ინციდენტმა არაერთი ცნობილი და მაღალი რეიტინგის მქონე ანგარიში დააზარალა. მათ შორის იყო აშშ-ის ყოფილი პრეზიდენტის, ბარაკ ობამას ძველი თეთრი სახლის ანგარიში, აშშ-ის კოსმოსური ძალების მთავარი სერჟანტის, ჯონ ბენტივენიას პროფილი და კომპანია Sephora-ს გვერდი.

Meta-მ დაადასტურა, რომ სისტემამ პაროლის აღდგენის ბმული არასწორად გაუგზავნა მესამე პირებს, რადგან არ მოხდა ელექტრონული ფოსტის მისამართების სათანადო ვერიფიკაცია.

კომპანია აცხადებს, რომ მათ არ აქვთ ინფორმაცია, მოხდა თუ არა მომხმარებელთა პირადი მონაცემების უშუალო წვდომა. თუმცა, ანგარიშის გატაცებამ შესაძლოა თავდამსხმელებს მისცეს წვდომა ისეთ ინფორმაციაზე, როგორიცაა:

  • პირადი შეტყობინებები (Direct Messages)
  • დაბადების თარიღები და საკონტაქტო ნომრები
  • სოციალურ ქსელში გამოქვეყნებული პოსტები
  • პროფილის დეტალური ინფორმაცია და აქტივობის ისტორია

Meta-მ უკვე გააუქმა ყველა ის ბმული, რომელიც ამ ხარვეზის გამოყენებით გენერირდა და გათიშა აღნიშნული AI-მხარდაჭერის ინსტრუმენტი. დაზარალებულ ანგარიშებს კი დაუწესდათ უსაფრთხოების დამატებითი, სავალდებულო შემოწმება.