Meta vừa xác nhận đã khắc phục một lỗ hổng bảo mật liên quan đến chatbot AI hỗ trợ khách hàng sau khi xuất hiện hàng loạt báo cáo cho thấy tin tặc có thể chiếm quyền tài khoản Instagram chỉ bằng cách tương tác với hệ thống này.
Thông tin ban đầu được các trang công nghệ 404 Media và TechCrunch đăng tải. Theo đó, nhiều hacker đã chia sẻ phương thức khai thác lỗ hổng trên mạng xã hội trong suốt cuối tuần qua.
Hacker chỉ cần yêu cầu chatbot hỗ trợ
Theo mô tả, tin tặc sử dụng VPN để giả mạo vị trí địa lý gần với chủ sở hữu tài khoản mục tiêu. Sau đó, chúng gửi yêu cầu đến chatbot hỗ trợ của Meta nhằm thêm một địa chỉ email mới vào tài khoản Instagram cần tấn công.
Điều đáng lo ngại là chatbot được cho là đã tự động gửi mã xác thực đến email do hacker cung cấp. Sau khi nhập mã xác nhận, hệ thống tiếp tục hiển thị tùy chọn đặt lại mật khẩu. Khi hoàn tất quá trình này, kẻ tấn công có thể thay đổi thông tin đăng nhập và chiếm toàn quyền kiểm soát tài khoản Instagram.
Một đoạn video ghi lại quá trình khai thác lỗ hổng cũng được lan truyền trên nền tảng X (Twitter), khiến vụ việc nhanh chóng thu hút sự chú ý của cộng đồng công nghệ.
Nhiều tài khoản nổi tiếng được cho là bị ảnh hưởng
Theo các báo cáo được chia sẻ trên nhiều diễn đàn công nghệ và mạng xã hội, lỗ hổng liên quan đến chatbot hỗ trợ AI của Meta có thể đã ảnh hưởng đến một số tài khoản Instagram có lượng người theo dõi lớn. Trong số những trường hợp được nhắc đến có tài khoản Instagram của Nhà Trắng từ thời cựu Tổng thống Barack Obama cùng tài khoản của Thượng sĩ trưởng thuộc Lực lượng Không gian Mỹ (U.S. Space Force).
Không chỉ các tài khoản nổi tiếng, nhiều người dùng thông thường cũng cho biết họ bất ngờ mất quyền truy cập vào tài khoản Instagram trong cùng khoảng thời gian cuối tuần. Sự việc nhanh chóng thu hút sự chú ý của cộng đồng an ninh mạng khi phương thức khai thác được lan truyền rộng rãi trên nền tảng X (Twitter) và các diễn đàn trực tuyến. Một số chuyên gia lo ngại rằng nếu lỗ hổng không được phát hiện và vá kịp thời, số lượng tài khoản bị ảnh hưởng có thể còn lớn hơn nhiều.
Hiện Meta chưa công bố con số chính thức về số lượng nạn nhân liên quan đến vụ việc. Công ty chỉ xác nhận rằng lỗ hổng đã được khắc phục và đang tiến hành hỗ trợ bảo mật cho các tài khoản bị ảnh hưởng. Tuy nhiên, vụ việc tiếp tục làm dấy lên những lo ngại về mức độ an toàn của các hệ thống hỗ trợ khách hàng được vận hành bằng AI, đặc biệt khi chúng có quyền truy cập vào các chức năng nhạy cảm liên quan đến quản lý tài khoản người dùng.
Meta xác nhận đã vá lỗi
Trả lời Yahoo Tech, đại diện Meta cho biết công ty đã khắc phục sự cố và đang tiến hành bảo vệ các tài khoản bị ảnh hưởng.
“Vấn đề đã được giải quyết và chúng tôi đang hỗ trợ bảo mật các tài khoản liên quan”, người phát ngôn của Meta cho biết. Ông Andy Stone, Phó Chủ tịch phụ trách truyền thông của Meta, cũng đăng tải thông báo tương tự trên mạng xã hội X.
Rủi ro mới từ chatbot AI hỗ trợ khách hàng
Vụ việc tiếp tục làm dấy lên lo ngại về việc các doanh nghiệp ngày càng phụ thuộc vào chatbot AI trong các quy trình hỗ trợ người dùng.
Khi AI được trao quyền xử lý các tác vụ liên quan đến xác thực danh tính và quản lý tài khoản, những sai sót trong quy trình kiểm tra bảo mật có thể trở thành mục tiêu hấp dẫn đối với tin tặc.
Mặc dù Meta đã nhanh chóng vá lỗi, sự cố lần này cho thấy chatbot AI không chỉ có thể mắc lỗi về nội dung hay thông tin, mà còn có khả năng tạo ra những rủi ro an ninh mạng nghiêm trọng nếu được cấp quá nhiều quyền truy cập vào hệ thống.
Trong bối cảnh ngày càng nhiều công ty công nghệ thay thế nhân viên hỗ trợ bằng AI, giới chuyên gia cho rằng các cơ chế xác thực và kiểm soát quyền hạn của chatbot cần được giám sát chặt chẽ hơn để tránh những sự cố tương tự trong tương lai.