昨天,大批 Instagram 帳號遭到入侵,其中包含像是歐巴馬白宮的官方帳號在內的多個高知名度帳號。
老實說,我在這個圈子也打滾了快十五年,看過不少規模達獨角獸等級公司的漏洞,但這次真的是我見過最離譜、最「蠢到不像真的」的一次。
步驟一:偽造位置並發起支援請求 攻擊者只需要知道你的帳號名稱就能開始。他們會用 VPN 或代理伺服器,跳到跟你同一座城市附近的位置,讓 Instagram 的安全演算法完全不疑有他(這個城市資訊從你的公開個人檔案、「關於」區塊就能輕鬆查到,方法多的是)。當請求看起來確實是從正確地區發出時,他們就告訴 Meta 的支援 AI 說帳號被盜了,要求把驗證碼寄到他們自己控制的電子郵件地址。
步驟二:就這樣,沒了 真的就這樣,沒了。這是我在正式產品上見過的第一個「零驗證密碼重設」漏洞。系統似乎完全沒有檢查攻擊者提供的電子郵件,是不是使用者曾經用過的。一旦 AI 把安全驗證碼寄到攻擊者的信箱,攻擊者只要把同一組驗證碼回填完成驗證,平台就會直接給出一個全新的密碼重設連結,把帳號完整所有權拱手讓人。
Instagram 的 AI 有時候會要求攻擊者拍一段影片自拍來證明身份,但目前的判斷能力實在差強人意,業界普遍回報——光是從目標帳號公開貼文抓一張照片,用 AI 動畫處理過就能過關。
如果你正在納悶為什麼會這樣:因為系統把這個高權限的帳號救援流程視為「真正的擁有者」發起的完整重設,所以原本綁定的雙因素驗證(2FA)在過程中會被徹底繞過。
所有現有的登入階段會被強制登出,密碼也會被直接更換,而且不會發送任何電子郵件、簡訊或推播通知。真正的帳號本人根本沒辦法發起救援,因為帳號綁定的電子郵件和電話號碼現在都指向攻擊者。整個過程找不到任何人可以申訴,你只能跟一個聊天機器人爭論,試著把控制權搶回來,同時祈禱對方不要故技重施。
而且如果你剛好是被 A/B 測試開啟 AI 支援選項的帳號,那更慘——你連把這個選項關掉的權利都沒有。
多個黑市 Telegram 群組如雨後春筍般冒出,提供「帳號接管」服務,收費不斐但交期迅速。考慮到短帳號的市場價值動輒數十萬甚至數百萬美元,這樣的供需關係其實也不令人意外。
被盜的帳號下場各異,有些被轉手出售(像「hey」這個帳號),有些則被拿來從事政治宣傳(像歐巴馬白宮帳號,或美國太空軍總士官長的官方帳號 ocmssf)。
目前所有 Telegram 群組都沉寂下來了,因為 Meta 似乎已經修補了這個漏洞;不過這個攻擊方法其實已經活躍了好幾個星期,甚至可能長達數月。
一家市值 1.5 兆美元的公司,竟然連基本的防護欄都沒做好,他們的支援 AI 居然只要你「好好開口問」,就會把任何人的綁定電子郵件改掉——這件事本來應該讓人毛骨悚然,結果卻荒謬到讓人想笑。
如果你看到這裡了,謝謝你的閱讀! :)
我原本以為,連續幾次出場然後在三十多歲退休應該會很有趣,但事實上,沒有每天早上 Slack 跟 Email 跳出來叫我,生活其實無聊又令人失落。如果你正在做什麼有趣的東西,需要多一雙手幫忙出貨,或者只是想打個招呼,歡迎隨時聯絡我。我的收件匣永遠敞開。
Reddit 熱門留言 (5)