Des hackers ont exploité une vulnérabilité du système de récupération Instagram alimenté par IA de Meta pour prendre le contrôle de comptes très médiatisés, y compris le profil Instagram archivé de la Maison-Blanche d’Obama, en abusant des flux de travail automatisés de support utilisés pour restaurer l’accès aux comptes verrouillés. Meta a depuis corrigé la faille et confirmé que les comptes concernés sont sécurisés.
Selon researchers plusieurs rapports de sécurité, les attaquants ont découvert qu’ils pouvaient manipuler l’assistant de support IA de Meta pour modifier les détails de récupération des comptes sans passer les vérifications habituelles. Dans certains cas, le système aurait permis aux attaquants d’associer une nouvelle adresse e-mail au compte Instagram d’une victime, créant ainsi un chemin pour réinitialiser les mots de passe et prendre le contrôle des profils.
Les chercheurs ont décrit ce problème comme une faille logique dans le flux de travail automatisé de récupération de Meta plutôt qu’une violation de l’infrastructure d’authentification d’Instagram. Les attaquants n’auraient apparemment pas besoin de mots de passe, de logiciels malveillants ou d’un accès direct aux systèmes Meta. Au lieu de cela, ils ont exploité les faiblesses du processus de support piloté par l’IA lui-même.
L’une des victimes les plus visibles était le compte Instagram @obamawhitehouse, un profil archivé préservant du contenu de l’administration Obama. Le compte a brièvement affiché des publications non autorisées avant que Meta ne retire le contenu et ne rétablisse l’accès. Des rapports ont indiqué que certains messages faisaient référence à des thèmes politiques et sectaires.
Les chercheurs ont indiqué que les cibles supplémentaires comprenaient des marques d’entreprise, des profils d’influenceurs, des pseudonymes « OG » rares et des comptes professionnels avec de larges audiences. Des vidéos partagées en ligne auraient montré comment les attaquants pouvaient exploiter le flux de travail de récupération pour prendre le contrôle de comptes portant des noms d’utilisateur précieux.
Les enquêteurs ont également trouvé des preuves suggérant que certains attaquants utilisaient des services VPN et usurpaient des données de localisation pour rendre les requêtes de récupération plus légitimes. Dans certains cas, l’assistant IA aurait accepté des informations limitées de compte comme preuve suffisante de propriété avant de traiter des changements sensibles de compte.
Les chercheurs en sécurité ont noté que l’exploit permettait aux attaquants de contourner certaines protections d’authentification à deux facteurs, car l’attaque visait le processus de récupération du compte plutôt que le système de connexion lui-même. Une fois les informations de récupération modifiées, les attaquants pouvaient réinitialiser les mots de passe et bloquer l’accès des utilisateurs légitimes à leurs comptes.
Meta a confirmé que la vulnérabilité avait été corrigée après la diffusion en ligne de rapports de prises de contrôle de comptes. L’entreprise a indiqué qu’elle sécurisait les comptes affectés et désactivait le comportement de récupération vulnérable, mais n’a pas divulgué combien d’utilisateurs avaient été affectés ni combien de temps la faille était restée active avant d’être corrigée.