Meta: hackers konden tienduizenden Instagram-accounts overnemen met Meta AI

In dit artikel:

Meta erkent dat een kwetsbaarheid in zijn AI-helpchatbot heeft geleid tot de kaping van Instagram-accounts. Het bedrijf bevestigde aan de Amerikaanse staat Maine dat tot 20.225 accounts getroffen konden zijn; dat getal is een bovengrens omdat sommige vermeldde gevallen mogelijk gewoon legitieme aanmeldingen waren.

Aanvallers misbruikten de chatbot die helpt bij toegangsproblemen: door met een vpn hun locatie te faken en zich voor te doen als de rechthebbende, lieten ze de bot het geregistreerde e-mailadres van een account wijzigen. Met dat nieuwe adres konden ze vervolgens het wachtwoord resetten en accounts zonder tweefactorauthenticatie overnemen.

De daders mikten vooral op kort aantrekkelijke gebruikersnamen (tot vier tekens) om door te verkopen, maar probeerden ook high-profile accounts te kapen, waaronder het Witte-Huis-account van Barack Obama, een hoge adviseur van de US Space Force en beveiligingsonderzoeker Jane Wong. Meta ontdekte de fout op 31 mei en haalde de chatbot offline; het bedrijf zegt de tool aan te passen om e-mailwijzigingen niet meer zo eenvoudig toe te staan.

Als praktische maatregel verdienen gebruikers het advies tweefactorauthenticatie te activeren en hun herstelopties scherp te stellen. Het incident illustreert ook de noodzaak van strengere verificatie in AI-gebaseerde supportsystemen.