La campagne de piratage généralisée qui consistait simplement à demander au chatbot de Meta AI de reprendre le compte Instagram d’une victime semble s’être poursuivie même après que la société a déclaré que le problème avait été résolu. Pendant ce temps, l’entreprise s’est efforcée de sécuriser les comptes ciblés et d’alerter les victimes.
Au cours du week-end, des pirates ont affirmé exploiter le chatbot de support IA de Meta pour s’emparer de plusieurs comptes Instagram de premier plan. Dans le même temps, un grand nombre de personnes se sont plaintes sur les réseaux sociaux que leurs comptes Instagram avaient été piratés, certains d’entre eux avec des identifiants de profil d’utilisateur courts et uniques.
TechCrunch a vu des exemples de poignées prétendument piratées comportant des prénoms communs ou des noms de pays, qui peuvent ensuite être revendues presque comme objets de collection sur un marché gris pour ce que l’on appelle les « poignées OG ». D’autres victimes de cette vague de piratage semblent être le compte inactif d’Obama à la Maison Blanche (que Meta a contesté) et le compte du sergent-chef de l’US Space Force, John Bentivegna.
Ces attaques étaient si simples que les qualifier de hacks pourrait donner trop de crédit aux personnes derrière elles, tout en ne blâmant pas suffisamment Meta pour ne pas avoir empêché des attaques rudimentaires de détourner les comptes des gens.
Les pirates ont simplement dit au chatbot IA de Meta qu’ils étaient propriétaires du compte de la cible et ont demandé au robot de lier le compte de cette personne à une adresse e-mail qu’ils contrôlaient. Le chatbot a accédé à la demande, permettant au pirate informatique de réinitialiser le mot de passe du compte cible et de prendre le contrôle du compte, bloquant dans certains cas les victimes. À aucun moment les employés ou sous-traitants de Meta n’ont été impliqués dans le chat.
Lundi, le porte-parole de Meta, Andy Stone, a déclaré que « le problème qui s’est produit a déjà été résolu ».
Mardi, cependant, de plus en plus d’utilisateurs d’Instagram ont affirmé que leur compte avait été piraté.
Dans le même temps, TechCrunch a vu des discussions entre les membres d’une chaîne Telegram où la technique de piratage avait été rendue publique, qui affirmaient être toujours en mesure d’exploiter le chatbot AI de Meta, et ils annonçaient à vendre des identifiants apparemment piratés, y compris au moment de la rédaction de TechCrunch. (Il est important de noter qu’il est difficile de savoir avec certitude si tous ces comptes ont été piratés à cause de la même technique.)
Contactez-nous
Avez-vous plus d’informations sur ces hacks Instagram ? Nous aimerions avoir de vos nouvelles. À partir d’un appareil et d’un réseau non professionnels, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Dans un article ultérieur sur X, Stone a déclaré : « Certaines personnes peuvent recevoir des notifications de réinitialisation de mot de passe et d’autres peuvent se voir poser des questions de sécurité lorsqu’elles tentent de se connecter à leur compte. »
Stone a déclaré à TechCrunch dans un e-mail que Meta avait sécurisé les comptes concernés lundi, puis avait commencé à envoyer des e-mails de réinitialisation de mot de passe. Interrogé par TechCrunch, Stone n’a pas précisé combien d’utilisateurs avaient été piratés.
Plusieurs personnes ont signalé que Meta avait commencé à informer les utilisateurs qu’ils étaient ciblés.
Les victimes ont déclaré publiquement avoir reçu des e-mails d’Instagram les avertissant que l’entreprise avait « détecté une activité suspecte suggérant que votre Instagram pourrait avoir été compromis ». Le message indique également que l’entreprise a pris des mesures pour sécuriser le compte et a demandé à l’utilisateur de réinitialiser son mot de passe.
Comme l’a noté 404 Media, Meta a annoncé en mars qu’elle mettait en œuvre l’IA pour automatiser son assistance aux utilisateurs, affirmant que le chatbot alimenté par l’IA était « conçu pour résoudre les problèmes de compte du début à la fin » et aurait la capacité de « réinitialiser votre mot de passe en toute sécurité ». Cela suggère que le chatbot peut effectuer des actions qui auraient pu auparavant nécessiter un humain dans la boucle, compte tenu de leur importance critique.
Depuis des années, il existe un marché florissant où les pirates informatiques volent puis revendent des noms d’utilisateur « OG », faisant référence aux noms d’utilisateur et aux pseudos pris par les premiers utilisateurs d’Instagram. Cependant, dans le passé, la reprise de ces comptes nécessitait des stratégies plus complexes, telles que l’hameçonnage de la victime, la récupération de son numéro de téléphone ou la corruption d’initiés chez les fournisseurs de télécommunications.
Ici, les pirates ont simplement demandé, et le chatbot de Meta s’est consciencieusement conformé.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
