Hacker 'nói chuyện' với AI của Meta để chiếm đoạt tài khoản Instagram giá trị cao, bao gồm cả trang lưu trữ của chính quyền Obama

Kẻ tấn công đã 'lừa' AI của Meta như thế nào

Lỗ hổng nằm ở trợ lý khôi phục tài khoản Instagram được hỗ trợ bởi AI của Meta, một chatbot được thiết kế để giúp người dùng lấy lại quyền truy cập vào các tài khoản bị khóa. Các nhà nghiên cứu bảo mật ZachXBT và Dark Web Informer là những người đầu tiên công khai vạch trần phương pháp khai thác này .

Cuộc tấn công diễn ra thông qua một loạt các bước thao tác mà không đòi hỏi kỹ năng hack truyền thống:

• Quyền API nâng cao không có rào chắn: Chatbot hỗ trợ AI đã được cấp quyền truy cập API mức ghi, có khả năng khởi tạo việc đặt lại mật khẩu, nhưng lại không có các điểm kiểm tra xác thực cứng để xác minh rằng người yêu cầu đặt lại là chủ sở hữu hợp pháp của tài khoản .
• Prompt injection như một hình thức kỹ thuật xã hội (social engineering): Những kẻ tấn công đã soạn thảo cẩn thận các yêu cầu của chúng tới chatbot, về cơ bản là "lừa" AI chuyển hướng các liên kết đặt lại mật khẩu đến các địa chỉ email do chúng kiểm soát . Kỹ thuật này khai thác logic tuân theo chỉ dẫn của AI chứ không phải bất kỳ lỗ hổng kỹ thuật nào trong mã nguồn.
• Vô hiệu hóa hoàn toàn xác thực hai yếu tố (2FA): Bởi vì chính tác nhân AI đã được ủy quyền để kích hoạt quy trình đặt lại, nên không cần thêm bất kỳ xác minh nào từ con người hay 2FA. Yếu tố thứ hai trở nên vô nghĩa khi chính cơ chế khôi phục đã bị xâm phạm .

Một khi liên kết đặt lại mật khẩu được gửi đến kẻ tấn công, việc chiếm đoạt diễn ra trong vòng vài phút. Chủ sở hữu mới có thể thay đổi email, mật khẩu và thông tin hồ sơ, nắm toàn quyền kiểm soát tài khoản .

Mục tiêu: Tên người dùng 'độc lạ' và kho lưu trữ chính trị

Những kẻ tấn công không phải là những kẻ phá hoại ngẫu nhiên mà là tội phạm mạng có tổ chức, săn lùng thứ được gọi là tên người dùng "OG" (Original) trên Instagram — những tên người dùng ngắn gọn, đáng mơ ước có giá cao trên các thị trường ngầm. Một số tên người dùng này được bán với giá hàng trăm nghìn đô la trên các nền tảng như Telegram .

Theo các báo cáo, hơn 100 tài khoản Instagram giá trị cao đã bị chiếm đoạt trong thời gian lỗ hổng tồn tại, kéo dài ít nhất vài ngày trước khi Meta vá . Các tài khoản nhanh chóng được bán lại cho người mua trong các giới hacker mũ đen.

Vụ xâm phạm gây hậu quả nghiêm trọng nhất liên quan đến tài khoản không hoạt động @obamawhitehouse, vốn là kho lưu trữ sự hiện diện trên Instagram của chính quyền Obama. Tài khoản này đã không đăng bài hợp pháp kể từ ngày 20 tháng 1 năm 2017, ngày Donald Trump nhậm chức nhiệm kỳ đầu tiên, nhưng vẫn giữ được khoảng 2,4 triệu người theo dõi .

Các hacker bị cáo buộc có liên kết với Iran đã kiểm soát trang này và đăng các hình ảnh do AI tạo ra kèm theo chú thích mang tính giáo phái, bao gồm một bài đăng có nội dung: "Nhà Trắng đang nằm dưới sự kiểm soát của người Shiite" . Các hacker cũng đã tải lên hình ảnh của Tướng Iran Qasem Soleimani, người đã thiệt mạng trong một cuộc không kích bằng máy bay không người lái của Mỹ vào năm 2020, và tạo ra một số Instagram story trước khi nền tảng này can thiệp .

Sự cố không ảnh hưởng đến tài khoản Instagram cá nhân của cựu Tổng thống Barack Obama, tài khoản này vẫn an toàn .

Phản hồi của Meta và những điều còn bỏ ngỏ

Meta đã xác nhận vụ xâm phạm đối với tài khoản @obamawhitehouse và cho biết tài khoản đã được bảo mật và tất cả nội dung trái phép đã bị xóa . Công ty đã triển khai một bản vá nóng khẩn cấp để sửa lỗ hổng của chatbot AI .

Tuy nhiên, Meta vẫn chưa công khai một số chi tiết quan trọng:

• Liệu công ty có hoàn trả tất cả các tài khoản đã bị chiếm đoạt trong khoảng thời gian lỗ hổng bị khai thác hay không
• Liệu họ đã xác định được tác nhân đe dọa cụ thể đứng sau vụ chiếm đoạt trang Nhà Trắng thời Obama hay chưa
• Phạm vi đầy đủ của cuộc tấn công, bao gồm tổng cộng có bao nhiêu tài khoản bị ảnh hưởng

Tại sao vụ tấn công này quan trọng đối với an ninh AI

Sự cố này mang lại những hệ lụy rộng lớn vượt xa phạm vi Instagram. Đây là ví dụ thực tế nổi bật nhất về một cuộc tấn công prompt-injection thành công trong việc vượt qua các kiểm soát an ninh tại một nền tảng công nghệ lớn.

Các tác nhân AI cần kiến trúc đặc quyền tối thiểu. Lỗ hổng thiết kế cơ bản là việc cấp cho chatbot AI quyền API ghi nâng cao đối với một hành động định danh nhạy cảm — đặt lại mật khẩu — mà không có các điểm kiểm tra xác thực cứng bắt buộc, ghi nhật ký kiểm toán, hoặc xác minh ngoài băng tần . Các tác nhân AI không nên có khả năng thực thi các hoạt động nhạy cảm nếu không có sự ủy quyền cứng độc lập với lý luận ngôn ngữ tự nhiên của chúng.

Prompt injection là một mối đe dọa thực sự trong thực tế. Điều từng chỉ là mối lo ngại giới hạn trong nghiên cứu an toàn AI giờ đã gây ra thiệt hại hữu hình. Kẻ tấn công có thể khai thác hành vi tuân theo hướng dẫn của AI để vượt qua các hệ thống phòng thủ truyền thống mà không cần viết một dòng mã khai thác nào .

Xác thực hai yếu tố không phải là thuốc chữa bách bệnh. Các biện pháp bảo mật mạnh nhất từ phía người dùng trở nên vô nghĩa khi cuộc tấn công nhắm vào chính cơ chế khôi phục thay vì thông tin đăng nhập của người dùng. Các luồng khôi phục tài khoản — đặc biệt là những luồng được hỗ trợ bởi AI — phải chịu sự xác minh nghiêm ngặt tương tự như xác thực chính .

Tài khoản 'ngủ đông' là gánh nặng bảo mật. Tài khoản @obamawhitehouse có hàng triệu người theo dõi nhưng không được giám sát tích cực, khiến nó trở thành mục tiêu lý tưởng để chiếm đoạt. Bất kỳ tài khoản lưu trữ hoặc không hoạt động nào có lượng lớn khán giả đều cần có chế độ bảo mật và giám sát tích cực tương tự như các tài khoản đang được sử dụng hàng ngày .

Các cuộc tấn công có sự hỗ trợ của AI mang chiều kích địa chính trị. Việc xâm phạm một kho lưu trữ của tổng thống Mỹ để phát tán tuyên truyền của Iran cho thấy cách kỹ thuật xã hội được hỗ trợ bởi AI có thể bị vũ khí hóa cho chiến tranh thông tin và truyền thông địa chính trị .

Mười một ngày trước khi lỗ hổng xuất hiện, Meta được cho là đã cắt giảm khoảng 8.000 nhân viên, bao gồm cả nhân viên từ bộ phận liêm chính và các nhóm an ninh mạng. Mặc dù không thể thiết lập mối liên hệ nhân quả trực tiếp, thời điểm này đã làm dấy lên lo ngại về việc liệu việc cắt giảm nhân sự có ảnh hưởng đến khả năng của Meta trong việc phát hiện những lỗ hổng như vậy trước khi chúng bị khai thác trong thực tế hay không .