Meta เปิดเผยว่ามีผู้ใช้งาน Instagram กว่า 20,000 รายถูกเข้าถึงบัญชีในเหตุการณ์การโจมตีล่าสุด ซึ่งผู้โจมตีได้ใช้ระบบ AI-powered support ของ Meta ในการรีเซ็ตรหัสผ่าน
ตามที่ BleepingComputer ได้รายงานไปเมื่อสัปดาห์ที่แล้ว กลุ่มแฮ็กเกอร์ได้อาศัยช่องโหว่ในเครื่องมือ High Touch Support (HTS) ของบริษัท ซึ่งเป็นระบบ AI-assisted support เข้ามาช่วยให้ผู้ใช้งานสามารถกลับมาเข้าถึงบัญชี Instagram ของตนได้อีกครั้งหลังจากถูกล็อกบัญชี
โดยการใช้ช่องโหว่จากระบบ HTS ที่ไม่ได้ตรวจสอบว่าที่อยู่อีเมลนั้นเชื่อมโยงกับบัญชี Instagram ที่ตกเป็นเป้าหมายหรือไม่ ทำให้แฮ็กเกอร์ได้รับ Links สำหรับรีเซ็ตรหัสผ่าน ซึ่งทำให้สามารถล็อกอิน และเข้าควบคุมบัญชีที่ไม่ได้เปิดใช้งานระบบการยืนยันตัวตนแบบ 2FA ได้สำเร็จ
หลังจากที่มีกระแสรายงานจากผู้ใช้งานจำนวนมากเกี่ยวกับการโจมตีดังกล่าวแพร่กระจายไปตามแพลตฟอร์มโซเชียลมีเดียต่าง ๆ Andy Stone รองประธานฝ่ายสื่อสารของ Meta ได้ตอบกลับผู้ใช้งานที่ได้รับผลกระทบรายหนึ่ง โดยระบุว่า "ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว และเรากำลังดำเนินการรักษาความปลอดภัยให้กับบัญชีที่ได้รับผลกระทบ"
ทั้งนี้ ทาง BleepingComputer ได้ติดต่อ Meta ไปเมื่อสัปดาห์ที่แล้วเพื่อขอข้อมูลเกี่ยวกับเหตุการณ์ช่องโหว่ด้านความปลอดภัยในครั้งนี้ แต่จนถึงขณะนี้ก็ยังไม่ได้รับการตอบกลับ
Meta ระบุในจดหมายแจ้งเตือนเหตุการณ์ข้อมูลรั่วไหลที่เพิ่งยื่นต่อสำนักงานอัยการสูงสุดแห่งรัฐเมน "เราขอแจ้งว่า มีการใช้ช่องโหว่ในเครื่องมือสนับสนุนการ Recovery บัญชีของ Instagram เพื่อพยายามเข้าถึงบัญชี Instagram ของผู้ใช้งานจำนวน 30 รายในเขตอำนาจศาล บัญชีทั้งหมดได้รับการรักษาความปลอดภัยแล้วเพื่อป้องกันไม่ให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาตต่อไป"
Meta ระบุว่า "เมื่อวันที่ 31 พฤษภาคม 2026 Meta บริษัทได้ค้นพบว่ามีช่องโหว่ในระบบ AI-assisted account recovery ของ Instagram ('High Touch Support' หรือ 'HTS') ซึ่งถูกใช้โดยผู้ไม่หวังดีที่ไม่ได้รับอนุญาตเพื่อทำการรีเซ็ตรหัสผ่านบัญชีผู้ใช้งาน Instagram"
แม้ว่า Meta จะไม่ได้ระบุในจดหมายแจ้งเหตุการณ์ข้อมูลรั่วไหลว่าการโจมตีเริ่มต้นขึ้นเมื่อใด แต่เอกสารที่ยื่นบนเว็บไซต์ของสำนักงานอัยการสูงสุดแห่งรัฐเมนระบุว่า เหตุการณ์รั่วไหลเกิดขึ้นเมื่อวันที่ 17 เมษายน ซึ่งน่าจะเป็นวันที่เกิดการโจมตีครั้งแรกโดยอาศัยช่องโหว่ของ HTS
นอกจากนี้ แม้บริษัทจะระบุว่าไม่มีข้อมูลส่วนบุคคลใดที่อาจถูกเข้าถึง หรือถูกขโมยไปจากบัญชีที่ถูกคุกคาม แต่บริษัทก็ได้ตั้งข้อสังเกตว่า ผู้โจมตีอาจสามารถเข้าถึงข้อมูลการติดต่อของผู้ใช้งาน Instagram ที่ได้รับผลกระทบ อย่างเช่น ที่อยู่อีเมล, หมายเลขโทรศัพท์, วันเดือนปีเกิด, โพสต์ หรือเนื้อหาบนโซเชียลมีเดีย (รูปภาพ, วิดีโอ, สตอรี่), ข้อความส่วนตัว (DM) และการสื่อสารต่าง ๆ, กิจกรรมในบัญชี และประวัติการโต้ตอบ, ข้อมูลโปรไฟล์ (Biography, รูปโปรไฟล์) ตลอดจนบัญชีที่เชื่อมต่อ และบริการที่ผูกไว้บัญชีอื่น ๆ
หลังจากค้นพบช่องโหว่ดังกล่าว ทางบริษัทได้ทำการปิดการใช้งานระบบ HTS AI-powered support รวมถึง Links รีเซ็ตรหัสผ่านทั้งหมดที่ระบบนี้สร้างขึ้น เพื่อให้แน่ใจว่าความพยายามใด ๆ ในการเข้าควบคุมบัญชีในอนาคตซึ่งเป็นส่วนหนึ่งของแคมเปญที่เป็นอันตรายเดียวกันนี้จะถูกบล็อกอย่างแน่นอน
นอกจากนี้ บริษัทยังได้นำบัญชีที่อาจถูกขโมยไปทั้งหมดเข้าสู่ระบบตรวจสอบความปลอดภัย และขอให้ผู้ใช้งานที่ได้รับผลกระทบทุกคนทำการรีเซ็ตรหัสผ่านใหม่อีกครั้ง พร้อมทั้งยืนยันตัวตนใหม่เพื่อรักษาความปลอดภัย และ Regain สิทธิ์ในการควบคุมบัญชีที่ถูกโจมตีกลับคืนมา
Meta ระบุเพิ่มเติมว่า "ก่อนที่จะเปิดใช้งานเครื่องมือนี้อีกครั้ง Meta จะแก้ไขระบบตรวจสอบการยืนยันตัวตนในจุดเริ่มต้นของการ Recovery บัญชี Instagram เพื่อให้มั่นใจว่ามีการตรวจสอบความถูกต้องของที่อยู่อีเมลเทียบกับข้อมูลบัญชีที่มีอยู่ ก่อนที่จะเริ่มกระบวนการรีเซ็ตรหัสผ่านใด ๆ นอกจากนี้ Meta กำลังดำเนินการตรวจสอบขั้นตอนการ Recovery บัญชีที่มีลักษณะคล้ายคลึงกันอย่างครอบคลุมในทุกแพลตฟอร์มของ Meta เพื่อค้นหาและแก้ไขปัญหาใด ๆ ที่อาจเกิดขึ้นได้"
ก่อนหน้าเหตุการณ์นี้ ไอร์แลนด์เคยสั่งปรับ Meta เป็นเงิน 264 ล้านดอลลาร์สหรัฐฯ จากเหตุการณ์ข้อมูลรั่วไหลในปี 2018 ซึ่งทำให้ชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์ และตำแหน่งที่ตั้งของบัญชี Facebook กว่า 29 ล้านบัญชีถูกเปิดเผย
นอกจากนี้ Meta ยังถูกสั่งปรับเงินอีก 265 ล้านยูโร (275.5 ล้านดอลลาร์สหรัฐฯ) เมื่อเดือนพฤศจิกายน 2022 เนื่องจากล้มเหลวในการปกป้องข้อมูลของผู้ใช้งาน Facebook จากโปรแกรม Scrapers และถูกปรับอีก 91 ล้านยูโร (100 ล้านดอลลาร์สหรัฐฯ) จากการจัดเก็บรหัสผ่านของผู้ใช้งานหลายร้อยล้านรายในรูปแบบ Plaintext ที่ไม่ได้เข้ารหัส
ที่มา : Bleepingcomputer
You must be logged in to post a comment.