Meta正在通知成千上万的用户，这些用户的Instagram账户在公司AI聊天机器人被滥用的几个月期间被劫持，黑客反复欺骗聊天机器人以控制某人的账户。在本周在《安全周刊》中看到的一封新的数据泄露通知信中，Meta首次透露了有多少人被劫持了账户，作为这一持续的黑客攻击活动的一部分，该活动在本周早些时候被发现，并首次由404 Media和TechCrunch报道。受影响账户的数量提供了一些关于这一黑客攻击活动的广泛性及其持续时间的清晰信息。根据上周五向缅因州检察长办公室提交的数据泄露通知，Meta通知了至少20,225人，他们的账户已被妥协，包括缅因州的30人。这些妥协会让黑客接管一个人的整个Instagram以及任何链接的账户，包括获取联系信息、出生日期和个人资料信息，以及访问该人的帖子、直接消息和账户活动的能力，通知中写道。Meta的通知确认，该泄露与“Instagram的AI辅助账户恢复系统中的一个漏洞”有关，该漏洞被利用以“对Instagram用户账户执行密码重置。”正如先前报道的那样，黑客利用了Meta的聊天机器人中的一个缺陷，使任何未启用双重验证的账户的密码都可以重置。该漏洞欺骗聊天机器人将验证码发送到黑客控制的电子邮件地址，而不是账户持有者的注册电子邮件地址，仅仅通过请求聊天机器人即可。聊天机器人无视这一点，依然照做。Meta在其泄露通知中表示：“该工具本身正常工作并按预期运作；然而，由于一个独立代码路径中的漏洞，系统未能正确验证请求密码重置的个人提供的电子邮件地址与该用户的Instagram账户关联的电子邮件地址是否匹配。”Meta补充说：“因此，当个人提供一个以前未与该账户关联的电子邮件地址时，系统错误地将密码重置链接发送到该未关联的电子邮件，而不是拒绝请求。这使得未经授权的第三方能够接收他们未拥有账户的密码重置链接。”此时，Meta表示，黑客可以重置某人的密码并按其权利拥有者的身份接管其账户。Meta表示，它“并不清楚”在黑客攻击期间是否访问了任何个人信息。（截至周六早些时候，向Meta的新闻热线发送请求澄清的电子邮件未得到回复。）根据缅因州的清单，这些黑客攻击始于4月17日左右，并持续到本周，Meta表示已经确保了聊天机器人。Instagram据报道在本周早些时候开始通知受影响的用户，通过发送密码重置通知，尽管一些人报告说黑客攻击仍在进行中。Meta在通知中还确认，已提醒用户保护他们的账户，表示它“指示受影响用户重置密码并通过安全的经过验证的渠道重新验证。”Meta表示，现已暂时禁用AI聊天机器人，并移除了允许聊天机器人重置用户账户的代码路径，同时表示也在检查其平台上的其他聊天机器人，以防止再次发生此类事件。目前尚不清楚导致聊天机器人被滥用的具体情况，但这一事件发生在Meta裁员数千名员工的短短时间后，同时奖励顶级高管以股权激励，因为该公司继续加倍投入于人工智能。~ ~ 非常感谢您阅读本周的安全周刊。如果您喜欢这篇文章，请分享！如果您对这篇文章有任何反馈、问题或评论，请随时联系：this@weekinsecurity.com。