近日有人發現 Meta AI 帳號復原助手存在嚴重安全漏洞。攻擊者可欺騙 AI 聊天機械人,要求 Instagram 將密碼重設碼發送至任意電郵地址,從而繞過身份驗證接管帳號。同一時期,美國太空軍最高士官長及奧巴馬白宮 Instagram 帳號相繼遭入侵。入侵者疑似與伊朗有關。
疑似伊朗黑客攻擊目標
今次事件涉及多個高知名度帳號。開源情報帳號 OSINT Technical 披露,美國太空軍最高士官長 (Chief Master Sergeant) Instagram 帳號疑遭伊朗人入侵,並發佈異常帖文。奧巴馬白宮存檔帳號 @obamawhitehouse 亦失守,帳號出現多篇異常帖文,包括一張 AI 生成圖片,配上「白宮已在什葉派控制之下」字句,亦有涉及伊朗將領蘇萊曼尼相關內容。其後 Meta 確認已奪回帳號控制權並刪除相關帖文。該帳號上一次正式發文為 2017 年 1 月 20 日特朗普就職典禮當天,閒置接近 9 年。攻擊者同時瞄準短用戶名稱高價值帳號,例如 @hey 及 @jowo,部分帳號在地下市場估值逾 100 萬美元(約港幣 780 萬元),並透過私人 Telegram 頻道迅速轉手。
漏洞運作原理
今次漏洞並非傳統意義伺服器入侵,而是源於 Meta AI 邏輯層設計缺陷。攻擊者透過 VPN 切換至目標用戶帳號所在地區後,直接與 Meta AI 帳號復原助手對話,要求系統將密碼重設碼發送至攻擊者自行指定電郵地址,整個過程完全繞過身份驗證。問題核心在於 AI 處理帳號復原請求時,缺乏速率限制及驗證執行機制,令任何知道目標用戶名稱人士均能發動攻擊。安全研究員 ZachXBT 及 Dark Web Informer 最早公開披露此漏洞。
Meta 回應
Meta 在事件曝光後發表聲明:「我們修復了一個讓外部人士可為部分 Instagram 用戶請求密碼重設電郵問題,我們系統從未遭入侵,用戶 Instagram 帳號依然安全。」事件令外界嚴重質疑 AI 客服工具安全架構。因為 AI 助手一旦獲得帳號管理功能深層存取權限,便成為社會工程攻擊重大弱點。已啟用雙重驗證 (2FA) 帳號在今次攻擊中未受影響。
保護帳號建議做法
安全專家建議用戶採取以下措施加強帳號保護:
• 啟用應用程式版雙重驗證(例如 Google Authenticator 或 Authy),而非 SMS 驗證
• 使用未公開與 Instagram 帳號關聯專用電郵地址
• 避免在不同平台重複使用相同密碼,並使用密碼管理器
• 定期在 Instagram 安全設定中檢查登入活動
• 妥善備份緊急復原碼
