Meta koncom roka 2025 spustila AI asistenta pre zákaznícku podporu na Facebooku a Instagrame a hoci to bolo považované za správny krok, krátko potom sa objavili prvé problémy. Cieľom asistenta bolo na začiatku zjednodušiť riešenie problémov s účtom kedykoľvek, vrátane resetovania hesiel. Hackeri sa však naučili, ako celú technológiu efektívne zneužívať.
Ako útok fungoval?
Postup bol zarážajúco jednoduchý. Útočník sa pripojil cez VPN nastavenú na lokalitu blízko cieľového účtu a požiadal Meta AI o zmenu e-mailovej adresy priradenej k Instagram profilu. Bot to vykonal bez overenia totožnosti. Po zmene e-mailu stačilo resetovať heslo a účet bol v rukách útočníka.
Meta pritom vo vlastnom blogu písala, že jej systémy rozpoznávajú zariadenia a známe lokality používateľov lepšie než kedykoľvek predtým. V praxi to znamenalo, že falošná lokalita cez VPN stačila ako overenie vlastníctva účtu.
V niektorých prípadoch síce systém požiadal o selfie ako dodatočné overenie, no aj to útočníci obišli pomocou AI nástrojov. Dvojfaktorové overenie bolo v mnohých prípadoch tiež obídené. Umelá inteligencia teda v tomto konkrétnom prípade narobila spotrebiteľom oveľa viac problémov, než osohu.
Koho sa útok dotkol
Zraniteľnosť sa objavila na sociálnych sieťach cez víkend spolu s demonštráciami celého postupu. Medzi obeťami boli účty kozmetickej siete Sephora, najvyššieho poddôstojníka amerických Vesmírnych síl, bezpečnostnej výskumníčky Jane Manchun Wong, vývojára Alberta Renshawa vlastniaceho handle @albert či archivovaného účtu Bieleho domu z éry Baracka Obamu.
Podľa portálu 404 Media hackeri o zraniteľnosti vedeli už od marca a čierne trhy na Telegrame na nej zarábali nemalé peniaze. Zároveň tiež platí, že obetí mohlo byť v praxi oveľa viac, no nie všetky sú verejne známe.
Meta chybu opravila, no škody, ktoré narobil jej AI asistent zostávajú
Meta zraniteľnosť záplatovala cez víkend. VP komunikácie Andy Stone potvrdil, že problém je vyriešený a Meta pracuje na zabezpečení dotknutých účtov. Na druhej strane je to pre používateľov stále nepríjemná komplikácia, s ktorou sa musia vyrovnávať.
Ironickým záverom celej kauzy je, že časť používateľov, ktorým bol účet ukradnutý, nemohla na jeho získanie späť použiť ten istý AI support a možnosť spojiť sa s ľudským operátorom jednoducho neexistovala.
Ak hľadáte overený iPhone so zárukou, ktorý prešiel rukami odborníkov zo SvetApple.sk, určite sa pozrite do nášho e-shopu Loopi.sk. Nájdete tu starostlivo skontrolované zariadenia za výrazne nižšie ceny než pri nových modeloch. Ušetriť môžete stovky eur, no stále získate spoľahlivý iPhone, ktorý vám bude bez problémov slúžiť ešte dlhé roky. 📱
