Pratite nas preko RSS-aGreška u Metinom AI sistemu za korisničku podršku omogućila preuzimanje Instagram naloga
Vesti, 02.06.2026, 13:00 PM
Kritična greška u Metinom AI sistemu za korisničku podršku na Instagramu omogućila je napadačima da zaobiđu dvofaktorsku autentifikaciju jednostavnim zahtevom upućenim botu.
Meta je potvrdila da je otklonila bezbednosni propust u AI sistemu za korisničku podršku koji je bio zloupotrebljen za preuzimanje pojedinih Instagram naloga.
Tokom vikenda više profila kompromitovano je za svega nekoliko minuta, a ukradena korisnička imena ponuđena su na prodaju na Telegramu gotovo odmah nakon preuzimanja naloga.
Napad nije zahtevao malver, fišing linkove niti pristup imejl adresi žrtve.
Prema izveštajima istraživača bezbednosti, napadači su koristili Meta AI podršku kako bi pokrenuli proces promene imejl adrese i resetovanja lozinke bez pristupa nalogu žrtve.
Navodno je bilo dovoljno da napadač tokom razgovora sa AI asistentom navede korisničko ime ciljanog naloga i zatraži povezivanje nove imejl adrese sa tim nalogom, nakon čega bi verifikacioni kod bio poslat na imejl adresu napadača. Napadač bi prosledio kod nazad botu, koji je zatim prikazao dugme „Resetuj lozinku“. Istraživači tvrde da je AI sistem u pojedinim slučajevima izvršavao zahteve bez dodatne provere identiteta korisnika, što je napadačima omogućavalo da preuzmu kontrolu nad nalogom i promene pristupne podatke.
Ni u jednom trenutku legitimni vlasnik naloga nije primio SMS upozorenje, push obaveštenje ili upozoravajući imejl.
Među metama su se, prema dostupnim informacijama, našli verifikovani profili, popularni Instagram nalozi sa kratkim korisničkim imenima velike tržišne vrednosti i pojedini institucionalni nalozi.
Stručnjaci su propust opisali kao primer takozvane „confused deputy“ ranjivosti, situacije u kojoj sistem sa višim privilegijama izvršava radnje u ime korisnika bez adekvatne provere ovlašćenja.
Meta je saopštila da je problem otklonjen i da su AI funkcije povezane sa promenom imejl adresa i resetovanjem lozinki dodatno ograničene.
Kompanija je navela da nije došlo do kompromitovanja njenih internih sistema, ali istraživači upozoravaju da ovakvi incidenti pokazuju rizike povezane sa AI agentima koji imaju direktan pristup osetljivim funkcijama za upravljanje korisničkim nalozima.
Korisnicima se preporučuje korišćenje aplikacija za autentifikaciju umesto SMS verifikacije, redovna provera aktivnih sesija i ažuriranje rezervnih kodova za oporavak naloga.
Izdvojeno
Lažni tutorijali na TikToku i Instagramu šire malver Vidarstealer
Sajber kriminalci sve češće koriste TikTok i Instagram Reels za širenje malvera, oslanjajući se na lažne tutorijale koji korisnicima obećavaju ... Dalje
Više od 400.000 uređaja zaraženo malverom skrivenim u piratskim igrama
Istraživači kompanije Malwarebytes upozoravaju na novu kampanju koja koristi piratske verzije popularnih PC igara za infekciju Windows računara. Pr... Dalje
Apple uvodi AI funkciju koja će automatski menjati kompromitovane lozinke
Apple je na konferenciji WWDC 2026 predstavio novu funkciju zasnovanu na Apple Intelligence tehnologiji koja će moći automatski da zameni slabe ili ... Dalje
Hakeri koriste lažne prijave o kršenju autorskih prava za krađu Google naloga
Istraživači kompanije Malwarebytes upozorili su na novu fišing kampanju koja cilja programere Chrome ekstenzija koristeći lažna obaveštenja o na... Dalje
WordPress malver krije komande u komentarima Steam profila
Istraživači kompanije GoDaddy otkrili su novu WordPress malver kampanju koja koristi Steam Community profile za skrivanje komandi namenjenih komprom... Dalje
Pratite nas
Nagrade
Prijatelji
