أدى خلل أمني في مساعد ميتا AI للدعم الفني إلى تمكين المخترقين من الاستيلاء على حسابات إنستجرام رفيعة المستوى، حيث سمح الذكاء الاصطناعي بتغيير بيانات الحسابات الحساسة دون إجراءات تحقق كافية، مما تسبب في موجة اختراقات واسعة.
كيف تسبب مساعد ميتا AI في كارثة أمنية على إنستجرام؟
أطلقت شركة ميتا مساعدها الذكي للدعم الفني في ديسمبر الماضي بهدف توفير مساعدة فورية للمستخدمين على مدار الساعة، بما في ذلك الإبلاغ عن عمليات الاحتيال واستعادة الوصول إلى الحسابات. ومع ذلك، تحولت هذه الأداة إلى وسيلة سهلة في يد المخترقين لاستغلال ثغرة "إعادة تعيين البريد الإلكتروني".
آلية استغلال الثغرة من قبل القراصنة:
- تغيير البريد الإلكتروني: كان المخترق يطلب من المساعد تغيير البريد المرتبط بالحساب المستهدف، ليقوم النظام بتنفيذ الطلب دون طلب كلمة المرور القديمة أو رمز تحقق.
- تزييف الموقع الجغرافي: اعتمد نظام ميتا على "المواقع المألوفة" للتحقق من هوية المستخدم، وهو ما تم الالتفاف عليه بسهولة عبر خدمات VPN لتمويه موقع المخترق.
- تجاوز التحقق بالصور: في الحالات التي طُلِب فيها فيديو "سيلفي" للتحقق، استخدم المخترقون تقنيات الذكاء الاصطناعي التوليدي لإنشاء فيديوهات مزيفة وتجاوز النظام.
تجاوز نظام المصادقة الثنائية (2FA) وفشل التحقق
وفقاً لتقرير تابعه فريق تيكبامين، فإن الثغرة لم تكتفِ بتغيير البريد الإلكتروني فحسب، بل مكنت المخترقين في بعض الحالات من تجاوز نظام المصادقة الثنائية بالكامل. كان كل ما يتطلبه الأمر هو اتصال VPN مضبوط على موقع قريب من الموقع الجغرافي المعتاد لصاحب الحساب، وهو أمر تافه تقنياً للمحترفين.
وكانت ميتا قد صرحت سابقاً في مدونتها أن أنظمتها باتت تتعرف على الأجهزة والمواقع الجغرافية بشكل أفضل من أي وقت مضى، ولكن هذا الاعتماد المفرط على "الموقع" بدلاً من "الهوية الحقيقية" هو ما فتح الباب أمام هذه الهجمات المنسقة.
من هم أبرز المتضررين من موجة الاختراقات الأخيرة؟
شهدت عطلة نهاية الأسبوع نشاطاً مكثفاً في قنوات "تليجرام" التي تتاجر بالحسابات المسروقة، حيث حقق بعض الوسطاء أرباحاً هائلة من بيع الوصول إلى حسابات إنستجرام مميزة. ومن أبرز الحسابات التي تأكد تعرضها للاختراق:
- حسابات رسمية تابعة لعلامة التجميل الشهيرة "سيفورا".
- حساب الأرشيف الخاص بالبيت الأبيض في عهد الرئيس الأسبق باراك أوباما.
- حسابات لمطورين ومؤثرين يمتلكون أسماء مستخدمين (Handles) نادرة وقيمة.
- حسابات لمسؤولين في القوات الفضائية الأمريكية وباحثين أمنيين.
رد فعل ميتا وغياب الدعم البشري
أكد آندي ستون، المتحدث الرسمي باسم شركة ميتا، أن المشكلة قد تم إصلاحها بالكامل وأن الشركة تعمل على "تأمين الحسابات المتأثرة" واستعادتها لأصحابها الشرعيين. ومع ذلك، لا يزال العديد من المستخدمين يواجهون صعوبات بالغة في استعادة حساباتهم.
كما يشير تيكبامين إلى وجود فجوة كبيرة في نظام الدعم، حيث وجد المستخدمون الذين سُرقت حساباتهم أنفسهم غير قادرين على استخدام نفس المساعد الذكي لاستعادة وصولهم، مع غياب تام لأي خيار يتيح التحدث إلى موظف بشري للمساعدة في حالات الطوارئ الأمنية.
كيف تحمي حسابك من مثل هذه الثغرات مستقبلاً؟
رغم أن الثغرة تم إغلاقها من جانب الخادم في شركة ميتا، إلا أن هناك دروساً أمنية يجب تعلمها من هذه الحادثة:
- تفعيل مفاتيح الأمان الفيزيائية (Security Keys) بدلاً من الرسائل النصية للتحقق.
- تحديث البريد الإلكتروني الأساسي واستخدام بريد مخصص للأمان فقط.
- مراجعة "الأجهزة المسجلة" في إعدادات الحساب بشكل دوري وتسجيل الخروج من أي جهاز غير معروف.
تظل هذه الحادثة تذكيراً قوياً بأن تقنيات الذكاء الاصطناعي، رغم فوائدها في تسهيل العمليات، قد تتحول إلى ثغرات أمنية كارثية إذا لم تُحط بأسوار قوية من التحقق البشري والتقني الصارم.
