Более 20 тысяч профилей в Instagram* любезно отдал хакерам ИИ-бот техподдержки. Злоумышленники просили его привязать к нужной странице новый адрес электронной почты, бот это делал, после чего они сбрасывали пароль и заходили в чужой аккаунт.
Проблема здесь была даже не столько в ИИ, сколько в кривых руках. Инструмент восстановления аккаунта не проверял, был ли новый email когда-либо связан с аккаунтом. Он отправлял ссылки для сброса пароля на любые адреса, сделав службу поддержки удобным интерфейсом для массового взлома страниц. Единственным барьером для атакующих оставалась двухфакторная аутентификация - метод обхода не работал, если профиль был защищён через SMS или отдельное приложение. Компания говорит, что уже исправила уязвимость.
ИИ при этом успел продемонстрировать невероятную клиентоориентированность: он помогал хакерам менять пароли чужих аккаунтов настолько вежливо и услужливо, что почти наверняка получил только максимальные оценки.
* сервис компании Meta Platforms, признанной в РФ экстремистской и запрещённой