ثغرة خطيرة في إنستغرام سمحت باختراق الحسابات.. وميتا تتحرك لإغلاقها

أعلنت منصة إنستغرام عن إصلاح ثغرة أمنية خطيرة كانت تتيح للمهاجمين السيطرة على حسابات المستخدمين من خلال استغلال روبوت الدعم الفني المعتمد على الذكاء الاصطناعي التابع لشركة ميتا.

وجاء الكشف عن الثغرة بعد تقارير نشرها عدد من المستخدمين عبر منصتي “إكس” و”ريديت” خلال عطلة نهاية الأسبوع، تحدثوا فيها عن تعرض حساباتهم للاختراق أو محاولات الاستيلاء عليها باستخدام طريقة غير تقليدية.

بلاغات متزايدة عن اختراق حسابات إنستغرام

أفاد مستخدمون بأن حساباتهم تعرضت للاختراق بشكل مفاجئ، فيما حذر آخرون من حوادث مشابهة أدت إلى فقدان السيطرة على حساباتهم على إنستغرام.

ومن بين الحسابات التي تأثرت بالهجوم حساب البيت الأبيض المستخدم خلال إدارة الرئيس الأميركي السابق باراك أوباما، والذي يبدو أنه لم يكن نشطاً منذ عام 2017. كما شملت الهجمات حساب كبير الرقباء في القوات الفضائية الأميركية جون بنتيفينيا.

كذلك أكدت الباحثة الأمنية جين وونغ تعرض حسابها للاختراق، مشيرة إلى أن كلمة المرور الخاصة بها تم تغييرها دون علمها، بالتزامن مع تلقيها عدة طلبات لإعادة تعيين كلمة المرور.

كيف استغل المهاجمون روبوت الدعم الذكي؟

بحسب مقطع فيديو تم تداوله على منصة “إكس”، اعتمدت عملية الاختراق على استغلال روبوت Meta AI Support Assistant الخاص بالدعم الفني.

واستخدم المهاجم شبكة افتراضية خاصة (VPN) لتغيير موقعه الجغرافي وإظهاره وكأنه في الموقع نفسه الخاص بالضحية، ما ساعده على تجاوز بعض إجراءات الحماية الأمنية.

بعد ذلك، بدأ المهاجم محادثة مع روبوت الدعم وطلب إضافة عنوان بريد إلكتروني جديد إلى الحساب المستهدف.

خطأ في التحقق منح المهاجم السيطرة الكاملة

بدلاً من إرسال رمز التحقق إلى البريد الإلكتروني الأصلي المرتبط بالحساب، قام النظام بإرسال الرمز إلى البريد الإلكتروني الذي أدخله المهاجم بنفسه.

وبمجرد إدخال الرمز، أصبح بإمكانه طلب إعادة تعيين كلمة المرور وإنشاء كلمة مرور جديدة، ما منحه السيطرة الكاملة على الحساب دون الحاجة للوصول إلى البريد الإلكتروني الحقيقي لصاحب الحساب.

وأظهرت التحقيقات أن المهاجم لم يكن مضطراً لاختراق البريد الإلكتروني الأصلي للضحية أو الوصول إليه في أي مرحلة من مراحل العملية، وهو ما جعل الثغرة بالغة الخطورة.

التحقق من صحة الثغرة

أكد التقرير الذي كشف عن الواقعة أنه تم التحقق من عمل الثغرة عملياً، حيث استقبل البريد الإلكتروني المستخدم في الاختبار رمز التحقق المرسل من النظام، ما دعم صحة الادعاءات المتعلقة بوجود الخلل الأمني.

ميتا تعلن إصلاح المشكلة

من جانبه، أعلن المتحدث باسم إنستغرام أندي ستون، يوم الاثنين، أن الشركة أصلحت المشكلة بالكامل، وذلك بعد انتشار شكاوى المستخدمين وتقارير الباحثة الأمنية جين وونغ.

ولم تكشف شركة ميتا حتى الآن عن عدد الحسابات التي تأثرت بالثغرة، كما لم توضح المدة الزمنية التي بقيت خلالها قابلة للاستغلال.

مخاوف جديدة بشأن الذكاء الاصطناعي وأمن الحسابات

تعيد هذه الحادثة تسليط الضوء على التحديات الأمنية المرتبطة بالاعتماد المتزايد على أنظمة الذكاء الاصطناعي في خدمات الدعم الفني وإدارة العمليات الحساسة.

ويرى مراقبون أن الواقعة تثير تساؤلات مهمة حول آليات التحقق التي تعتمد عليها الأنظمة الذكية، ومدى قدرتها على التعامل مع الإجراءات الأمنية المتعلقة بحماية الحسابات الرقمية ومنع عمليات الاحتيال والاستيلاء عليها.