Tính năng hỗ trợ khách hàng bằng AI từng được Meta quảng bá là cách giúp người dùng lấy lại tài khoản Facebook và Instagram nhanh hơn. Tuy nhiên, công cụ này vừa trở thành tâm điểm của một lỗ hổng bảo mật nghiêm trọng khi bị phát hiện có thể bị hacker lợi dụng để chiếm quyền kiểm soát tài khoản Instagram.
Chỉ cần yêu cầu AI đổi email và đặt lại mật khẩu
Thông tin về lỗ hổng bắt đầu lan truyền mạnh trên mạng xã hội X và các nhóm Telegram chuyên về bảo mật trong những ngày gần đây. Theo các nhà nghiên cứu bảo mật, lỗ hổng này nghiêm trọng đến mức ngay cả những tài khoản đã bật xác thực hai lớp (2FA) cũng có nguy cơ bị tấn công.
![Cảnh báo Chatbot AI hỗ trợ của Meta bị lợi dụng để chiếm đoạt tài khoản Instagram chỉ trong vài bước]( "Canh bao Chatbot AI ho tro cua Meta bi loi dung de chiem doat tai khoan Instagram chi trong vai buoc")
Theo các báo cáo được chia sẻ, hacker có thể tương tác trực tiếp với chatbot hỗ trợ AI của Meta và yêu cầu thay đổi địa chỉ email liên kết với tài khoản mục tiêu. Sau đó, chúng tiếp tục yêu cầu đặt lại mật khẩu để hoàn tất quá trình chiếm quyền truy cập. Nhiều hình ảnh và video minh họa quá trình tấn công đã được lan truyền trên Telegram, cho thấy việc khai thác lỗ hổng này tương đối đơn giản và không đòi hỏi kỹ thuật quá phức tạp.
Lỗ hổng có thể liên quan tới cơ chế xác minh vị trí
Meta chưa công bố chi tiết nguyên nhân sự cố, nhưng các chuyên gia cho rằng vấn đề xuất phát từ cách chatbot xác minh danh tính người dùng. Theo các phân tích ban đầu, hệ thống hỗ trợ AI của Meta có thể đã dựa một phần vào vị trí địa lý để xác định chủ sở hữu tài khoản. Hacker được cho là chỉ cần sử dụng VPN để giả lập vị trí trùng với vị trí của nạn nhân nhằm vượt qua lớp kiểm tra này.
![Cảnh báo Chatbot AI hỗ trợ của Meta bị lợi dụng để chiếm đoạt tài khoản Instagram chỉ trong vài bước 2]( "Canh bao Chatbot AI ho tro cua Meta bi loi dung de chiem doat tai khoan Instagram chi trong vai buoc 2")
Trước đó, khi giới thiệu công cụ hỗ trợ AI vào cuối năm ngoái, Meta từng nhấn mạnh rằng hệ thống có khả năng nhận diện tốt hơn các thiết bị quen thuộc và những vị trí người dùng thường xuyên đăng nhập.
Meta xác nhận đã vá lỗi
Sau khi vụ việc bị công khai, Meta đã xác nhận lỗ hổng đã được khắc phục. Phó chủ tịch truyền thông Andy Stone cho biết công ty đã xử lý vấn đề và đang tiến hành bảo vệ các tài khoản bị ảnh hưởng.
![Cảnh báo Chatbot AI hỗ trợ của Meta bị lợi dụng để chiếm đoạt tài khoản Instagram chỉ trong vài bước 3]( "Canh bao Chatbot AI ho tro cua Meta bi loi dung de chiem doat tai khoan Instagram chi trong vai buoc 3")
Tuy nhiên, Meta không tiết lộ có bao nhiêu tài khoản đã bị chiếm đoạt trước khi bản vá được triển khai. Theo một số nguồn tin, các cuộc thảo luận về lỗ hổng này đã xuất hiện trên Telegram từ tháng 3 năm nay.
Nhiều tài khoản nổi tiếng được cho là đã trở thành nạn nhân
Dù chưa có bằng chứng chính thức cho thấy mọi vụ tấn công gần đây đều liên quan tới lỗ hổng này, thời điểm phát hiện sự cố trùng với hàng loạt vụ hack nhắm vào các tài khoản có lượng theo dõi lớn. Trong số đó có tài khoản từng thuộc Nhà Trắng dưới thời cựu Tổng thống Obama. Tài khoản này bất ngờ đăng tải một hình ảnh do AI tạo ra mang nội dung chính trị dù đã ngừng hoạt động từ năm 2017.
Ngoài ra, một số báo cáo còn đề cập đến các tài khoản thuộc thương hiệu mỹ phẩm Sephora và một quan chức cấp cao của Lực lượng Không gian Mỹ cũng có thể đã bị ảnh hưởng.
Vụ việc một lần nữa cho thấy những thách thức về bảo mật khi các công ty công nghệ ngày càng tích hợp AI vào các hệ thống hỗ trợ khách hàng. Dù giúp tự động hóa nhiều quy trình, chỉ một lỗ hổng nhỏ cũng có thể biến chatbot AI thành công cụ hỗ trợ đắc lực cho tin tặc nếu không được kiểm soát chặt chẽ.