← 返回信息流
AI 资讯Hacker News·2 天前

Instagram最新漏洞堪称史上最荒诞

原标题:The newest Instagram "exploit" is the goofiest I've seen

速览

Instagram平台近期出现了一个新的安全漏洞。该漏洞的具体利用方式极其荒诞和滑稽,引发了关注。这一事件凸显了社交媒体平台在安全机制上可能存在的奇葩缺陷。

AI 深度解读

Instagram 最新“漏洞”:一场荒诞的账号接管闹剧

背景

昨日,包括奥巴马白宫官方账号(@obamawhitehouse)在内的多个 Instagram 高知名度账号疑似遭遇黑客攻击。这一事件在网络安全社区引发了广泛关注。对于见多识广的安全研究人员而言,这类利用社会工程学或系统缺陷进行的账号接管(Account Takeover, ATO)并不罕见,但此次攻击手法之简单、荒谬,甚至让人怀疑其“愚蠢到难以置信”,使其成为近年来最引人注目的安全事件之一。

核心内容

此次攻击并非利用复杂的代码漏洞或中间人攻击,而是直接针对 Meta 支持 AI 系统的逻辑缺陷进行社会工程学攻击。整个接管流程极其精简,主要包含以下步骤:

1. 伪造位置与支持介入

攻击者仅需获取目标用户的 Instagram 用户名即可发起攻击。随后,攻击者通过 VPN 或代理服务器连接到目标用户所在的城市区域,以规避 Instagram 安全算法对异地登录的怀疑。用户的位置信息通常很容易从其公开的个人资料或“关于”页面获取。一旦系统认为请求来自正确的地理区域,攻击者便向 Meta 的支持 AI 声称账号被盗,并要求将验证码发送至攻击者控制的任意电子邮件地址。

2. 零验证密码重置

这是攻击者首次在生产环境中实现无需任何前置身份验证(Zero Auth)的密码重置。系统似乎没有检查所提供的电子邮件地址是否曾与该用户关联过。一旦 AI 将安全验证码发送至攻击者的邮箱,攻击者只需将验证码回填即可完成验证。平台随即提供一个新的密码重置链接,从而将账号的完全控制权移交给攻击者。

值得注意的是,Instagram 的支持 AI 可能会要求攻击者提供视频自拍以证明身份。然而,目前的 AI 鉴别能力相当薄弱,据报道,只需使用目标用户动态中公开的、由 AI 生成的动画照片,即可轻易骗过该系统。

3. 双重验证(2FA)形同虚设

由于该高权限恢复流程被系统视为“真实所有者”发起的账号彻底重置,原有的双重验证(2FA)设置在此过程中被完全绕过。

  • 会话失效:原有登录会话被强制撤销,密码被更改。
  • 通知缺失:整个过程不会向原用户发送电子邮件、短信或推送通知。
  • 恢复无门:原用户无法发起恢复流程,因为账号绑定的邮箱和电话号码现在已映射到攻击者名下。
  • 无人工干预:受害者只能与聊天机器人争辩,试图夺回控制权,且祈祷攻击者不会再次得手。
  • 无法关闭:对于参与 A/B 测试且启用了 AI 支持选项的账号,用户甚至无法手动关闭该功能。

4. 黑市交易与后果

鉴于短用户名在黑市上价值高达数十万甚至数百万美元,多个 Telegram 群组迅速涌现,提供高价且快速的“账号接管”服务。

  • 账号倒卖:部分账号如 hey 已被转手倒卖。
  • 宣传滥用:部分账号如 obamawhitehouse 或美国太空军首席军士长账号 ocmssf 被用于发布宣传内容。

5. 现状与修复

目前,随着 Meta 似乎已修补该漏洞,相关的 Telegram 群组已沉寂。然而,这一特定方法可能已经活跃了数周甚至数月。对于一个市值 1.5 万亿美元的科技巨头而言,缺乏 robust 的安全护栏,且其支持 AI 只要被“礼貌地”请求就能随意更改任何人的绑定邮箱,这一事实既令人恐惧,又显得极其荒诞。

关键要点

  • 攻击门槛极低:攻击者仅需目标用户名和基本的地理位置伪造能力,无需复杂的技术手段。
  • AI 支持系统存在严重逻辑缺陷:Meta 的支持 AI 在未验证邮箱所有权归属的情况下,即可执行高权限的账号重置操作。
  • 身份验证机制失效:AI 对视频自拍的鉴别能力不足,简单的 AI 生成图像或公开照片即可通过验证。
  • 双重验证(2FA)被绕过:该漏洞利用的是“账号重置”流程,而非登录流程,因此原有的 2FA 保护机制完全无效。
  • 用户无感知且无法干预:原用户在密码更改和绑定信息变更后收不到任何通知,且无法通过常规渠道联系人工客服进行申诉。
  • 黑市利益驱动:高价值用户名的存在催生了快速、昂贵的账号接管黑市服务。
  • 修复滞后:该漏洞可能已存在数周至数月,反映出大型平台在 AI 自动化支持系统上的安全审查滞后。

意义与影响

此次事件揭示了大型科技公司过度依赖 AI 自动化支持系统所带来的巨大安全风险。

  1. AI 安全护栏的缺失:Meta 作为拥有庞大资源的公司,其 AI 支持系统在关键的身份验证环节缺乏基本的逻辑校验(如验证邮箱历史关联性),显示出在自动化服务与安全性平衡上的重大失误。
  2. 社会工程学的新型武器:攻击者不再需要窃取数据库或破解加密算法,而是直接利用系统设计中的“便利性”漏洞。这种“零验证”攻击证明了在缺乏多因素交叉验证的情况下,单一 AI 交互即可导致账号完全失守。
  3. 用户信任危机:对于高知名度账号(如政府机构、公众人物)的接管,不仅造成个人损失,更可能引发公众信任危机和社会舆论混乱。
  4. 行业警示:此事件为整个科技行业敲响了警钟。随着越来越多公司引入 AI 客服和自动化运维,必须建立更严格的身份验证协议,确保 AI 在执行敏感操作(如更改绑定信息、重置密码)时,具备足够的人机交互验证和多重确认机制,而非仅凭用户的口头请求。

相关推荐

查看原文 →0xsid.com