企业官网建设流程全解析

Meta人工智能聊天助手引发Instagram账户被盗事件

就在一周多前，Meta由人工智能驱动的聊天助手在无意中让黑客得以访问数千个Instagram账户，其中包括像美妆零售商丝芙兰（Sephora）、美国太空部队高级士官的账户，以及巴拉克·奥巴马任总统时的白宫账户等知名账户。确切的受影响账户数量后来在向缅因州总检察长办公室提交的监管文件中披露，总计有20225个账户被盗用（其中30个账户的所有者是缅因州居民）。

黑客攻击手段曝光

上周，404 Media报道了这起黑客攻击事件。对于那些未启用双因素认证的账户持有者来说，黑客很容易得手。黑客只需让人工智能聊天机器人将目标账户的电子邮件地址更改为他们自己的邮箱。一旦更改成功，黑客就会请求重置密码，这会促使人工智能将验证码发送到他们的个人邮箱。黑客验证密码重置后，就能控制该账户。甚至在X（原Twitter）上还出现了经过编辑的攻击步骤视频，展示了黑客如何使用VPN让自己看起来像是在目标用户所在地。在整个过程中，黑客甚至都不需要用户的邮箱地址或原始密码。

Meta承认系统漏洞并修复

在6月5日发给缅因州总检察长亚伦·弗雷（Aaron Frey）的事件通知信中，Meta承认“Instagram的人工智能辅助账户恢复系统存在漏洞……被未经授权的第三方利用，对Instagram用户账户进行密码重置”。这一漏洞被公开后，许多Instagram用户在Reddit和X上报告称自己的账户被盗，不过当时黑客攻击的范围还不清楚。Meta发言人在X上发布消息称，自6月1日最初的报告发布后不久，该漏洞就已修复。

人工智能导致攻击的原因

人工智能为何会导致这次黑客攻击发生呢？问题几乎完全出在Meta现在由人工智能负责客户支持上。这家科技巨头在今年3月做出了这一转变，称这将为“账户问题提供全天候帮助，比如更新密码和个人资料设置”。但由于整个过程都由人工智能聊天机器人处理，当出现可疑活动时，人工无法介入。这使得黑客能够实施社交工程式攻击，在被人发现之前多次得手。

受影响账户处理及安全措施

所有受影响的账户都被强制注销，邮箱地址也恢复了原状。随后，用户被告知重置密码并重新验证登录。Meta表示，账户安全恢复后，会发送第二份通知提醒用户开启双因素认证，以防止未来的攻击。截至目前，Meta尚未回应置评请求。

如何防范类似攻击

这次社交工程攻击有一个主要限制：它对启用了多因素认证（MFA）的账户无效。这些账户要么已经在其选择的认证应用中获取了验证码，要么会通过短信收到验证码。如果没有开启MFA设置，一次性重置验证码似乎会被发送到指定的邮箱，这就使得黑客能够轻易获取。保护自己的最佳方法是启用多因素认证，Meta的所有平台都支持这一功能。虽然它不能100%保证你的账户安全，但比单纯使用密码要好得多，而且本可以完全防范这次的攻击。此外，你还可以采取其他措施来加强账户安全，比如在支持的情况下使用通行密钥（passkeys），以及使用私人邮箱，让他人更难获取你的账户凭证。