Metas KI-bot hielp hackers bij overname van Instagram-accounts

Hackers hebben Metas KI-gestuurde support-bot systematisch voor de gek gehouden om de controle over Instagram-accounts over te nemen. The Guardian meldt dat aanvallers de chatbot ertoe brachten e-mailadressen van hooggeplaatste accounts te wijzigen – een methode om vervolgens de wachtwoorden opnieuw in te stellen en volledige controle te verkrijgen.

De aanval werkte verrassend eenvoudig: heise online documenteert dat de hackers de bot alleen maar goed moesten "vragen" om toegang te krijgen. De geautomatiseerde assistent, die gebruikers eigenlijk bij accountherstel zou moeten helpen, verifieerde de identiteit van de aanvallers onvoldoende en gaf hun beheerdersrechten. Honderden accounts waren gedurende meerdere dagen getroffen.

Hooggeplaatste doelen en beveiligingsrisico's

Onder de gekraakte profielen bevond zich ook het Instagram-account van het Obama White House, een hooggeplaatst doel dat de ernst van de beveiligingskwetsbaarheid onderstreept. TechCrunch meldt dat de hackers hiermee aantoonden hoe eenvoudig het was om de KI-beveiligingsmechanismen te omzeilen.

Meta heeft tot nu toe geen officiële verklaring over het incident gegeven. Beveiligingsexperts waarschuwen dat KI-gebaseerde supportsystemen een nieuw aanvalsvector vormen als zij niet zijn uitgerust met robuuste verificatieprocessen. De kwetsbaarheid roept vragen op over de betrouwbaarheid van geautomatiseerde beveiligingssystemen die bij accountherstel worden gebruikt – een kritiek moment waarop authenticatie bijzonder streng zou moeten zijn.