Meta confirms 1000s of Instagram accounts were hacked by abusing its AI chatbot

개요

Meta는 AI 챗봇의 취약점을 악용한 해킹 캠페인을 통해 수천 명의 Instagram 계정이 탈취되었음을 확인하고, 피해자들에게 알리고 있습니다.

주요 내용

* 영향받은 계정 수: Meta는 최소 20,225명의 Instagram 계정이 해킹되었으며, 이 중 30명은 메인 주 거주자라고 밝혔습니다.
* 해킹 방식: 해커들은 Instagram의 AI 기반 계정 복구 시스템의 취약점을 악용하여, 2단계 인증이 설정되지 않은 계정의 비밀번호 재설정을 시도했습니다.
* 취약점 상세: AI 챗봇은 비밀번호 재설정을 요청하는 개인에게서 제공받은 이메일 주소가 해당 사용자 계정과 연결된 이메일 주소와 일치하는지 제대로 확인하지 못하는 버그가 있었습니다. 이로 인해 해커가 자신의 이메일로 비밀번호 재설정 링크를 받도록 속일 수 있었습니다.
* 탈취된 정보: 계정 탈취를 통해 해커들은 연락처 정보, 생년월일, 프로필 정보뿐만 아니라 게시물, 다이렉트 메시지, 계정 활동까지 접근할 수 있었습니다. Meta는 해킹 과정에서 개인 정보가 접근되었는지 여부에 대해서는 "알고 있지 않다"고 밝혔습니다.
* 해킹 기간: 해킹은 대략 4월 17일부터 Meta가 챗봇을 안전하게 조치할 때까지 지속되었습니다.
* Meta의 조치: Meta는 현재 해당 AI 챗봇을 비활성화하고, 사용자 계정 재설정을 가능하게 했던 코드 경로를 제거했습니다. 또한, 유사한 사고 방지를 위해 다른 플랫폼의 챗봇들도 점검하고 있습니다.
* 보안 권고: Meta는 영향을 받은 사용자들에게 비밀번호 재설정 및 보안 인증을 강화하도록 지시했습니다.

시사점

Meta의 AI 챗봇 취약점을 이용한 대규모 계정 탈취 사건은 AI 기반 시스템의 보안 검증이 얼마나 중요한지 보여주며, 2단계 인증 미사용 계정의 보안 강화 필요성을 다시 한번 강조합니다.