Instagram a résolu un problème de sécurité qui permettait de pirater les comptes de plusieurs utilisateurs. L’attaque semblait reposer sur la tromperie du chatbot de support alimenté par l’IA de Meta pour qu’il accorde l’accès au compte d’une victime.
Au cours du week-end, plusieurs utilisateurs de Reddit ont affirmé que leurs comptes Instagram avaient été compromis, et un certain nombre d’utilisateurs de X ont mis en garde contre des détournements de comptes similaires. Les comptes compromis incluent le compte Instagram de la Maison Blanche de l’ère Obama, qui semble être inactif depuis 2017 ; et le récit du sergent-chef de l’US Space Force, John Bentinvegna.
La chercheuse en sécurité Jane Wong a déclaré que son compte Instagram avait également été piraté.
« Le mot de passe a été modifié à mon insu et j’ai reçu différentes tentatives de réinitialisation de mot de passe tout au long de la journée d’hier », a déclaré Wong. « Assez préoccupant. »
Une vidéo publiée sur X montrait le processus étape par étape pour pirater le compte Instagram de quelqu’un. Le pirate informatique aurait utilisé un VPN pour usurper l’emplacement présumé des cibles afin d’éviter de déclencher les protections automatisées des comptes Instagram. Ensuite, le pirate a ouvert une discussion avec Meta AI Support Assistant et a demandé au robot d’ajouter une nouvelle adresse e-mail au compte de la cible. On peut voir le chatbot envoyer un code de vérification à l’adresse e-mail fournie par le pirate informatique ; le pirate informatique partage ensuite le code de vérification avec le chatbot, ce qui l’invite à afficher un bouton pour « Réinitialiser le mot de passe ». Le pirate saisit un nouveau mot de passe et reprend le compte de la victime.
TechCrunch a pu vérifier que la boîte aux lettres électronique publique du pirate informatique, affichée dans la vidéo, avait effectivement reçu le code de vérification.
L’attaque reposait sur le fait qu’à aucun moment le pirate informatique n’avait besoin de s’emparer de l’adresse e-mail légitime liée au compte Instagram des victimes.
Lundi, le porte-parole d’Instagram, Andy Stone, a déclaré dans une réponse au message de Wong et à d’autres que le problème était désormais résolu. On ne sait pas exactement combien d’utilisateurs d’Instagram ont vu leurs comptes mal consultés.
Meta n’a pas immédiatement répondu à la demande de commentaire de TechCrunch.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
