Informațiile au apărut în presă și se bazează pe o notificare din statul american Maine, în care Meta recunoaște că hackerii au luat “probabil” controlul asupra peste 20.225 de conturi de pe Instagram. Nu este clar în ce alte state în afară de Maine a fost efectuat atacul, însă Meta menționează că aproximativ 30 dintre utilizatorii afectați locuiau acolo.
Compania dă vina pe un bug, care a dus la apariția vulnerabilității care le-a permis hackerilor să preia controlul asupra unor conturi care nu aveau activată autentificarea în doi pași. Mai exact, hackerii au cerut pur și simplu chatbot-ului o resetare a parolei.
“Instrumentul în sine a funcționat corect, conform comenzii; cu toate acestea, din cauza unei erori într-o cale de cod separată, sistemul nu a verificat corect dacă adresa de e-mail furnizată de persoana care solicita resetarea parolei se potrivea cu adresa de e-mail asociată contului de Instagram al respectivului utilizator. Ca urmare, atunci când o persoană furniza o adresă de e-mail care nu era asociată anterior cu contul, sistemul trimitea în mod eronat un link de resetare a parolei către acea adresă de e-mail neasociată, în loc să respingă solicitarea. Acest lucru a permis unor terți neautorizați să primească un link de resetare a parolei pentru conturi pe care nu le dețineau”, se arată în comunicatul companiei.
Conform directorului de comunicare al Meta, problema a fost semnalată pentru prima dată pe 31 mai și a fost rezolvată pe 1 iunie. Deși perioada a fost scurtă, hackerii au atacat cu succes mai multe conturi Instagram de mare vizibilitate, printre care contul de Instagram al Casei Albe, folosit în perioada mandatului lui Barack Obama, contul sergentului-șef al Forțelor Spațiale ale SUA, John F. Bentivegna, dar și cel al Sephora. În notificarea transmisă în statul Maine, Meta a adaugă că “nu are cunoștință” dacă au fost accesate date personale în urma atacului, dar menționează că persoanele care au preluat controlul asupra conturilor ar fi putut obține adrese de e-mail, numere de telefon, date de naștere, postări pe rețelele sociale, mesaje directe, informații de profil, activitatea contului și conturile conectate. De asemenea, Meta mai transmite că a dezactivat instrumentul de asistență AI, a eliminat vulnerabilitatea și a inactivat toate linkurile de resetarea a parolei.
sursa: biziday