Grote fout in Meta AI laat hacker 20.000 Instagram-accounts overnemen
Bij de aanval in kwestie maakte de hacker gebruik van Meta AI. Het gaat dan wel niet om de reguliere AI-chatbot van Meta, maar om een speciale variant die gebruikers helpt opnieuw toegang te krijgen tot hun Instagram-account. De High Touch Support (HTS)-tool komt bijvoorbeeld van pas als je Instagram-account werd gehackt. Maar die hersteltool blijkt dus ook kwetsbaar: een hacker wist via HTS, zo blijkt nu, ruim 20.000 accounts buit te maken (via BleepingComputer).
De hacker was natuurlijk niet de rechtmatige eigenaar van die Instagram-accounts. Toch lukte het om via een bug in de AI-chatbot herstellinks van de socialemedia-accounts te ontvangen. Daarmee konden de wachtwoorden van getroffen accounts worden gereset, toch zeker op accounts waarvoor geen 2FA was ingesteld. Was dat wél het geval, dan kon de hacker het wachtwoord eveneens resetten; inloggen was vanwege 2FA echter niet mogelijk.
Aanvallers actief sinds 17 april
Meta schrijft in een brief aan de procureur-generaal van de Amerikaanse staat Maine dat het de bug op 31 mei ontdekte. In een melding op de website van Maine’s procureur-generaal staat ook te lezen dat de aanval op 17 april plaatsvond. Het is onbekend of op die datum alle Instagram-accounts zijn buitgemaakt, of dat de aanvallen vanaf dat moment zijn begonnen.
De brief stelt verder dat er 30 accounts in de staat Maine zijn getroffen. Wereldwijd gaat het echter om ruim 20.000 accounts waarvan de wachtwoorden zijn gereset. Meta laat verder weten dat alle getroffen accounts inmiddels zijn beveiligd; getroffen gebruikers moeten allemaal hun wachtwoord resetten en zichzelf opnieuw authenticeren voordat ze weer toegang krijgen tot hun account.
De bug in de HTS-chatbot zou inmiddels ook zijn opgelost. Daarnaast blokkeerde Meta alle resetlinks die de AI-chatbot had aangemaakt om verdere gevolgen van de aanval te beperken. Hoewel dat ook legitieme gebruikers treft, zorgt het er alleszins voor dat er geen nieuwe accounts meer gestolen kunnen worden.
Welke informatie is buitgemaakt?
Meta zegt (nog) geen zicht te hebben op de gegevens die zijn gestolen van getroffen Instagram-accounts. Dat zou kunnen gaan om e-mailadressen, telefoonnummers, geboortedata, socialemediaberichten, privéberichten, accountactiviteit en interacties, verbonden accounts en diensten en profielinformatie, voor zover die niet openbaar is.
Je past dus ook best goed op bij binnenkomende e-mails. Zeker als ze afkomstig lijken van Meta of Instagram; nu hackers mogelijk toegang hadden tot je gegevens, kunnen ze immers persoonlijkere phishingmails sturen.
Hopelijk komt Meta zijn belofte na voor het beveiligen van de Meta AI-chatbot. Er zou in elk geval opnieuw een sterke focus komen te liggen op e-mailverificatie; dat moet voorkomen dat iemand anders dan de accounteigenaar een resetmail kan ontvangen.
