Χάκερ εκμεταλλεύτηκαν κενό ασφαλείας στο AI chatbot υποστήριξης του Instagram για να παραβιάσουν λογαριασμούς χρηστών, μεταξύ των οποίων επαληθευμένοι λογαριασμοί υψηλού προφίλ. Μεταξύ των στόχων βρέθηκε λογαριασμός που χρησιμοποιούσε η προεδρία Ομπάμα όταν ο Μπαράκ Ομπάμα βρισκόταν στον Λευκό Οίκο. Η πλατφόρμα, που ανήκει στη Meta, ανακοίνωσε ότι το πρόβλημα έχει πλέον επιλυθεί, ενώ αρνήθηκε κατηγορηματικά τους ισχυρισμούς ότι παραβιάστηκαν λογαριασμοί μεγάλων ηγετών. Ο ακριβής αριθμός των επηρεασμένων λογαριασμών παραμένει άγνωστος.
Πώς λειτουργούσε η επίθεση μέσω του AI bot
Η τεχνική που χρησιμοποίησαν οι χάκερ βασιζόταν σε μια εξαιρετικά απλή, αλλά αποτελεσματική παραπλάνηση του συστήματος τεχνητής νοημοσύνης του Instagram. Ο δράστης αναζητούσε το όνομα χρήστη ενός λογαριασμού-στόχου μέσα από τη διαδικασία ανάκτησης λογαριασμού. Για να φαίνεται ότι βρισκόταν στην τοποθεσία του πραγματικού κατόχου, χρησιμοποιούσε VPN, παραπλανώντας έτσι τα γεωγραφικά φίλτρα της πλατφόρμας. Η επίθεση δεν απαιτούσε ιδιαίτερες τεχνικές γνώσεις — αρκούσε η σωστή αλληλουχία κινήσεων απέναντι στο αυτοματοποιημένο σύστημα.
Στη συνέχεια, ο χάκερ απευθυνόταν στο AI chatbot υποστήριξης του Instagram με ένα φαινομενικά απλό αίτημα: να συνδεθεί ένα νέο email με τον λογαριασμό-στόχο και να σταλεί κωδικός επαλήθευσης σε αυτό. Το bot ανταποκρινόταν θετικά στο αίτημα, στέλνοντας τον κωδικό στη διεύθυνση email που είχε ορίσει ο εισβολέας — και όχι στον νόμιμο κάτοχο. Αποτέλεσμα: ο πραγματικός χρήστης έμενε αποκλεισμένος από τον δικό του λογαριασμό, χωρίς να αντιληφθεί τίποτα έως ότου να ήταν πλέον αργά.
Αξιοσημείωτο στοιχείο της επίθεσης είναι ότι ολόκληρη η διαδικασία γινόταν χωρίς να εμπλέκεται κανένας υπάλληλος της Meta. Το AI bot χειριζόταν αυτόνομα τα αιτήματα, γεγονός που άνοιξε ένα παράθυρο ευπάθειας το οποίο οι κακόβουλοι χρήστες δεν δίστασαν να εκμεταλλευτούν. Τις τελευταίες ημέρες καταγράφηκε σειρά παραβιάσεων λογαριασμών υψηλού προφίλ, αποκαλύπτοντας την πραγματική έκταση του προβλήματος.
Αντιδράσεις: Λογαριασμός Ομπάμα και πρώην υπάλληλος Meta
Ένας από τους λογαριασμούς που παραβιάστηκαν ήταν επαληθευμένος λογαριασμός που χρησιμοποιούσε ο Μπαράκ Ομπάμα κατά τη διάρκεια της προεδρίας του. Σύμφωνα με τις αναφορές, ο λογαριασμός δημοσίευσε περιεχόμενο υπέρ του Ιράν πριν ανακτηθεί από τους νόμιμους κατόχους του. Η Meta απάντησε αρνητικά σε αυτούς τους ισχυρισμούς, χαρακτηρίζοντάς τους «εντελώς ψευδείς», χωρίς ωστόσο να παρέχει λεπτομέρειες για το ποια ακριβώς συμβάντα επιβεβαιώνει ή διαψεύδει.
Μεταξύ όσων κατήγγειλαν ότι έπεσαν θύματα της επίθεσης είναι η Τζέιν Μαντσούν Γουόνγκ, ερευνήτρια ασφάλειας και πρώην υπάλληλος της Meta. Σε ανάρτησή της στο X, κατήγγειλε ότι ο κωδικός πρόσβασής της στο Instagram «αλλάχθηκε χωρίς να το γνωρίζω», ενώ παράλληλα εντόπισε επανειλημμένες προσπάθειες επαναφοράς κωδικού. Η περίπτωσή της έχει ιδιαίτερο βάρος, καθώς πρόκειται για εμπειρογνώμονα με βαθιά γνώση των εσωτερικών συστημάτων της εταιρείας — γεγονός που καθιστά την καταγγελία της δύσκολο να αγνοηθεί.
Το BBC, που ανέδειξε το ζήτημα, σημειώνει ότι παραμένει άγνωστο πόσοι συνολικά λογαριασμοί επηρεάστηκαν από την εκμετάλλευση αυτής της ευπάθειας. Η Meta δεν διευκρίνισε ποιες ακριβώς αλλαγές έγιναν στη λειτουργία του AI bot για να αποτραπούν μελλοντικές παρόμοιες επιθέσεις. Το γεγονός ότι μια τόσο απλή μέθοδος μπορούσε να παρακάμψει τους μηχανισμούς ασφαλείας μιας από τις μεγαλύτερες πλατφόρμες στον κόσμο εγείρει σοβαρά ερωτήματα για την αξιοπιστία των AI εργαλείων σε ευαίσθητες λειτουργίες.
Τι ακολουθεί για το Instagram και τα AI chatbots
Η υπόθεση αναδεικνύει τους κινδύνους που ενέχει η πλήρης αυτοματοποίηση υπηρεσιών υποστήριξης μέσω τεχνητής νοημοσύνης. Το AI chatbot του Instagram σχεδιάστηκε για να εξυπηρετεί χρήστες αυτόνομα και χωρίς ανθρώπινη εποπτεία — και αυτό αποδείχθηκε η κρίσιμη αδυναμία του. Η Meta δεν έχει ανακοινώσει επίσημα εάν θα αναθεωρήσει τη λειτουργία του bot ή εάν θα εισαγάγει επιπλέον επίπεδα ελέγχου για ευαίσθητες ενέργειες, όπως η αλλαγή email σε υπάρχοντα λογαριασμό. Η περίπτωση αναμένεται να επανέλθει στη δημόσια συζήτηση, καθώς η χρήση AI στις υπηρεσίες εξυπηρέτησης επεκτείνεται ραγδαία σε όλες τις μεγάλες πλατφόρμες παγκοσμίως.
