Как простой трюк с ИИ позволил угнать аккаунт администрации Обамы и десятки других

Злоумышленники не использовали навыков традиционного взлома. Вся атака строилась на манипуляции:

• Чрезмерные полномочия без контроля: ИИ-ассистент поддержки имел доступ к API уровня записи, который мог инициировать процедуру сброса пароля. При этом в его алгоритме отсутствовали жесткие детерминированные проверки — он не умел достоверно подтверждать, что запрос на сброс делает именно законный владелец аккаунта .
• Внедрение подсказок как социальная инженерия: Хакеры составляли для бота специальные запросы, по сути применяя методы социальной инженерии к машине. Они формулировали инструкции так, что ИИ перенаправлял ссылки для сброса паролей на подконтрольные атакующим адреса электронной почты .
• Полный обход двухфакторной аутентификации: Поскольку сам ИИ-агент был уполномочен запускать сброс, никаких дополнительных проверок — в том числе кодов из SMS или приложений — не требовалось. Сильнейшая защита пользователя оказалась бесполезной, когда скомпрометирован сам механизм восстановления доступа .

После того как ссылка для сброса приходила на почту хакера, захват аккаунта занимал считанные минуты. Новый «владелец» менял адрес электронной почты, пароль и данные профиля, получая полный контроль .

Цели: «OG-нинеймы» и политические архивы

Организаторы атаки не были обычными вандалами. Это были киберпреступники, охотившиеся за так называемыми OG-аккаунтами (от «original gangster»). Так на сленге называют страницы с короткими, запоминающимися именами, которые ценятся на подпольных рынках и могут продаваться за сотни тысяч долларов на площадках вроде Telegram .

По имеющимся данным, за время, пока уязвимость была активна (несколько дней до патча Meta), было угнано более ста «элитных» Instagram-аккаунтов. Практически сразу же они перепродавались заинтересованным покупателям в закрытых хакерских кругах .

Самый резонансный эпизод — взлом @obamawhitehouse, архивного Instagram-аккаунта администрации Барака Обамы. Последний легитимный пост там появился 20 января 2017 года, в день первой инаугурации Дональда Трампа, однако страница сохранила около 2,4 миллиона подписчиков .

Связанные с Ираном хакеры не только захватили управление, но и придали атаке политический окрас. Они опубликовали сгенерированные нейросетью изображения с подписью: «Белый дом под контролем шиитов», а также загрузили изображения иранского генерала Касема Сулеймани, убитого в 2020 году ударом американского беспилотника. Прежде чем платформа вмешалась, в взломанном аккаунте также появилось несколько stories .

Личный Instagram-аккаунт Барака Обамы не пострадал .

Реакция Meta и вопросы без ответов

Meta подтвердила факт взлома @obamawhitehouse и заявила, что аккаунт был «обезопасен», а весь несанкционированный контент удален . Компания оперативно выпустила экстренное исправление, закрыв уязвимость в ИИ-чатботе .

Тем не менее, по нескольким важным пунктам Meta публичных комментариев не дала:

• Был ли восстановлен контроль над всеми аккаунтами, угнанными в период активности уязвимости.
• Установлена ли личность конкретных хакеров, стоящих за атакой на страницу Белого дома Обамы.
• Каков полный масштаб ущерба — точное число пострадавших аккаунтов .

Почему этот инцидент важен для всей ИИ-индустрии

Произошедшее важно не только в контексте одной социальной сети. Этот кейс — самый яркий пример того, как атака с использованием prompt injection обошла системы безопасности крупной технологической платформы.

ИИ-агентам нужна архитектура минимальных привилегий. Ключевая ошибка проектирования — предоставление ИИ-чатботу права инициировать сброс пароля, то есть выполнять критически важное для идентификации действие, без встроенных механизмов обязательной аутентификации, аудита или дополнительного подтверждения по независимому каналу. Искусственный интеллект не должен выполнять чувствительные операции без «жесткой» авторизации, не зависящей от его языковой логики .

Prompt injection — угроза реального мира. Еще недавно это было предметом дискуссий исследователей безопасности ИИ, а теперь нанесло осязаемый вред. Хакеры научились использовать следование инструкциям как оружие против самой системы, не написав ни строчки вредоносного кода .

Двухфакторная аутентификация не панацея. Когда атака направлена не на пользователя, а на механизм восстановления доступа, самые надежные пользовательские меры защиты становятся бесполезны. Процессы восстановления — особенно основанные на ИИ — должны проверяться так же строго, как и основной вход в учетную запись .

«Спящие» аккаунты — угроза безопасности. У страницы @obamawhitehouse были миллионы подписчиков, но никакого активного мониторинга. Это делает такие архивные и заброшенные аккаунты с большой аудиторией идеальными целями для захвата. Они требуют таких же мер безопасности и такого же активного надзора, что и аккаунты, используемые ежедневно .

У ИИ-атак есть геополитическое измерение. Взлом президентского архива США для распространения иранских нарративов показывает, как методы социальной инженерии с использованием ИИ могут стать оружием в информационной войне .

Есть и контекстный момент: за 11 дней до того, как уязвимость обнаружили, Meta, по сообщениям, сократила около 8000 сотрудников, включая персонал из отдела контроля целостности и команд кибербезопасности. Прямую причинно-следственную связь установить трудно, но подобные совпадения по времени лишь усиливают вопросы о том, могло ли сокращение штата помешать своевременному выявлению подобных дыр .