💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
Meta旗下的Instagram存在AI账户恢复助手漏洞,黑客可通过该助手重置密码和修改邮箱,导致多个账户被盗。尽管Meta声称已修复漏洞,但实际上只是隐藏了前端界面,API仍可被访问,黑客继续利用此漏洞进行盗取。即使启用双重身份验证(2FA),仍有账户被盗,表明AI助手可能能解绑2FA。Meta尚未对此事件作出回应。
🎯
关键要点
-
Meta旗下的Instagram存在AI账户恢复助手漏洞,黑客可以通过该助手重置密码和修改邮箱。
-
Meta声称已修复漏洞,但实际上只是隐藏了前端界面,API仍可被访问。
-
黑客利用该漏洞继续盗取账户,即使启用双重身份验证(2FA),仍有账户被盗。
-
黑灰产团伙主要瞄准高价值的Instagram账户,通过劫持并转售获得非法收益。
-
Meta未能有效修复漏洞,导致其产品管理总监的账户也被盗。
-
AI账户恢复助手的高权限逻辑问题使得黑客能够诱导其重置密码和邮箱。
-
启用2FA验证的账户也可能被盗,表明AI助手可能能解绑2FA。
❓
延伸问答
Instagram的AI账户恢复助手漏洞是什么?
Instagram的AI账户恢复助手存在逻辑漏洞,黑客可以通过该助手重置密码和修改邮箱,而无需进行任何验证。
Meta声称修复了漏洞,实际情况如何?
Meta声称已修复漏洞,但实际上只是隐藏了前端界面,API仍然可被访问,黑客继续利用该漏洞。
即使启用双重身份验证,账户仍然会被盗的原因是什么?
启用双重身份验证的账户仍可能被盗,可能是因为AI助手能够解绑2FA,黑客通过诱导手段实现。
黑客是如何利用这个漏洞进行盗取的?
黑客通过搭建Telegram机器人和脚本工具与AI账户恢复助手的API交互,从而高效盗取账户。
Meta对此事件有何回应?
Meta尚未对此事件作出回应,尽管多个账户被盗,包括其产品管理总监的账户。
黑灰产团伙为何主要瞄准高价值的Instagram账户?
黑灰产团伙主要瞄准高价值的Instagram账户,因为这些账户通常使用短用户ID,盗取后可转售获得高额非法收益。
➡️
