ผู้ใช้งาน Instagram จำนวนมากกำลังเผชิญปัญหาสูญเสียบัญชีอย่างกะทันหัน หลังมีรายงานว่าแฮกเกอร์สามารถใช้ช่องโหว่ในระบบกู้คืนบัญชีที่ขับเคลื่อนด้วย Meta AI เพื่อเข้ายึดบัญชีได้ภายในเวลาเพียงไม่กี่นาที
ตามรายงานจาก The CyberSec Guru ระบุว่า ผู้โจมตีจะอาศัยช่องโหว่ประเภท Prompt Injection เพื่อหลอกระบบกู้คืนบัญชีอัตโนมัติของ Meta โดยผู้ไม่หวังดีจะใช้งานเครือข่าย VPN เพื่อปลอมแปลงพิกัดที่ตั้งทางภูมิศาสตร์ให้ตรงกับข้อมูลโปรไฟล์ของเหยื่อ และดึงภาพถ่ายสาธารณะบนหน้าโปรไฟล์ไปทำงานร่วมกับเครื่องมือสร้างวิดีโอปัญญาประดิษฐ์เพื่อสร้างคลิปวิดีโอขยับใบหน้าเลียนแบบ (AI-generated selfies) เพื่อนำส่งยืนยันตัวตนกับระบบตรวจสอบอัตโนมัติ
จากนั้นจะทำการส่งข้อความสั่งการผ่านโมเดลภาษาขนาดใหญ่ (LLM) ให้ทำการรีเซตระบบ ส่งผลให้แฮกเกอร์สามารถเข้าไปเปลี่ยนอีเมล ผูกรหัสผ่านใหม่ และบล็อกเจ้าของบัญชีตัวจริงออกจากระบบได้อย่างง่ายดาย
การโจมตีครั้งนี้่จะมุ่งเป้าไปที่กลุ่มบัญชีผู้ใช้งานประเภท “OG” หรือบัญชีที่มีชื่อผู้ใช้งานสั้น และหายากซึ่งมีมูลค่าซื้อขายในตลาดมืดสูง รวมถึงบัญชีขององค์กรระดับสูงและบุคคลสาธารณะ เช่น บัญชี Instagram ที่เคยใช้ในยุคประธานาธิบดีบารัค โอบามา (Obama White House), บัญชีของ John F. Bentivegna หัวหน้าเจ้าหน้าที่กองทัพอวกาศสหรัฐฯ ตลอดจนบัญชีของนักวิจัยด้านความปลอดภัยไซเบอร์ชื่อดังอย่าง Jane Manchun Wong ซึ่งบัญชีที่ถูกยึดครองส่วนใหญ่จะถูกนำไปประกาศซื้อขายผ่านแพลตฟอร์ม Telegram ทันที
ภายหลังเกิดเหตุการณ์ทาง Meta ออกแถลงการณ์ดำเนินการแก้ไขช่องโหว่ดังกล่าว (Hotfix) เป็นที่เรียบร้อยแล้ว โดยระบุว่าระบบฐานข้อมูลหลักไม่ได้ถูกเจาะทะลวงและบัญชีส่วนใหญ่ยังคงปลอดภัย
อย่างไรก็ตาม เหตุการณ์ครั้งนี้สร้างกระแสวิพากษ์วิจารณ์อย่างหนักเกี่ยวกับความปลอดภัยของการนำระบบปัญญาประดิษฐ์มาควบคุมสิทธิ์การเข้าถึงบัญชีโดยไม่มีมนุษย์คอยตรวจสอบ (Human in the loop) เนื่องจากผู้ใช้งานที่ได้รับความเสียหายจำนวนมากระบุว่าต้องติดอยู่ในระบบแชตบอตอัตโนมัติและไม่สามารถติดต่อเจ้าหน้าที่ที่เป็นมนุษย์เพื่อขอความช่วยเหลือได้เลย
ด้านผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกคำแนะนำแก่ผู้ใช้งานทั่วไปเพื่อยกระดับความปลอดภัยขั้นต้น ดังนี้
- เปลี่ยนระบบการยืนยันตัวตนสองชั้น (2FA) จากการรับรหัสทาง SMS ไปใช้งานแอปพลิเคชันยืนยันตัวตน (Authenticator App) หรือคีย์ฮาร์ดแวร์แทน
- เลือกใช้งานที่อยู่อีเมลที่ไม่เปิดเผยต่อสาธารณะในการผูกกับบัญชี Instagram
- ทำการบันทึกรหัสกู้คืนบัญชีสำรอง (Backup Recovery Codes) ชุดใหม่และจัดเก็บไว้ในรูปแบบออฟไลน์
- ตรวจสอบประวัติการเข้าใช้งานระบบ (Active Sessions) อย่างสม่ำเสมอและกดออกจากระบบในอุปกรณ์ที่ไม่รู้จักทันที
- หากได้รับอีเมลแจ้งรีเซตรหัสผ่านโดยไม่ได้ตั้งใจ ให้เปิดแอปพลิเคชันโดยตรงเพื่อตรวจสอบข้อมูลผู้ติดต่อทันที
Meta เปิดตัวแอปพลิเคชัน Meta AI เวอร์ชันแรก เข้าถึงผู้ช่วยอัจฉริยะได้ง่าย …
Meta เปิดตัว “Forum” แอปโซเชียลแนว Reddit พร้อม AI ช่วยแอดมินดูแลกลุ่ม
ลือ Meta ซุ่มพัฒนาจี้ห้อยคอ AI ช่วยจดจำและบันทึกทุกคำพูดได้ตลอดวัน
