昨天，一大批Instagram账户，包括一些高知名度的账户如奥巴马白宫账户，似乎被黑客入侵。我见过不少漏洞和接管技术，但这是我见过的最不严肃的，"几乎愚蠢得不真实"。接管流程步骤 01：伪造位置并启动支持攻击者所需的只是你的账户用户名。然后，他们通过离你城市较近的VPN或代理进行连接，以避免Instagram的安全算法产生怀疑。（你可以很容易地从你的公共资料或“关于”部分或其他数百种方式获取这个。）一旦看起来请求是来自正确地区，他们就告诉Meta支持AI该账户被黑客入侵，请求将验证码发送到一个他们控制的任意电子邮件地址。步骤 02：就这样，这真的就是全部。我们在生产环境中看到的第一个真正的零身份验证密码重置。似乎并没有额外检查提供的电子邮件是否用户之前使用过。当AI将安全代码发送到攻击者的电子邮件时，攻击者立即将其返回以完成验证。该平台提供了一个新的密码重置链接，完全授予攻击者所有权。Instagram的AI可能会要求攻击者提供视频自拍以验证身份。但目前它并不是特别挑剔，所以目标动态中的简单AI动画公开照片被广泛报道为有效。双重身份验证无济于事 如果你在想，由于系统将这种高权限恢复流程视为“真正”所有者的完全账户重置，原始的双重身份验证在过程中完全被绕过。现有会话被撤销，密码更改而没有电子邮件、短信或推送通知。实际所有者无法启动恢复，因为电子邮件和电话号码现在指向攻击者。没有人可以上报，你只是和一个聊天机器争论，希望夺回控制权，同时祈祷他们不会再这样做。如果你是A/B测试账户的一部分，而AI支持选项处于活动状态，真倒霉，你甚至不能关闭它。黑市泛滥 多个黑市Telegram群组迅速涌现，提供“账户接管”服务，价格高昂且周转迅速。考虑到短名称的价值在数十万到数百万美元之间，这实际上并不奇怪。账户已经被转售，比如hey，或者被用于宣传，比如obamawhitehouse或美国太空部队高级主士长的账号ocmssf。 ` 已修补 现在所有Telegram群组都安静下来了，因为Meta似乎已经修补了这个漏洞，但这个特定方法似乎活跃了数周，甚至几个月。令人恐惧的是，一个价值1.5万亿美元的公司缺乏强健的保护措施，并且他们的支持AI只要你温和一点就可以改变任何人的关联电子邮件，这实在令人毛骨悚然，如果这不是那么可笑的话。