Ζούμε στην εποχή της τεχνητής νοημοσύνης και οι εταιρείες πλασάρουν τα AI bots ως την απόλυτη λύση για την εξυπηρέτηση πελατών. Όλα έδειχναν υπέροχα μέχρι που συνέβη το αδιανόητο. Το ίδιο το AI της Meta, εκείνο που υποτίθεται ότι προστατεύει τους χρήστες, βοήθησε χάκερ να παραβιάσουν δεκάδες λογαριασμούς στο Instagram. Πρόκειται για μια από τις μεγαλύτερες ειρωνείες στον χώρο της τεχνολογίας, καθώς το εργαλείο που δημιουργήθηκε για να διευκολύνει τη ζωή μας, έγινε ο καλύτερος σύμμαχος των ψηφιακών επιτήδειων.
Η απίστευτη ευκολία της παραβίασης
Η μέθοδος που χρησιμοποίησαν οι χάκερ είναι τόσο απλή που προκαλεί ίλιγγο. Πολλοί χρήστες ανέφεραν το πρόβλημα το Σαββατοκύριακο, αποδεικνύοντας πόσο εύκολα κάποιος αποκτά πρόσβαση σε ξένους λογαριασμούς. Οι χάκερ ζητούσαν απλώς από το Meta AI να αλλάξει τη διεύθυνση email ενός συγκεκριμένου λογαριασμού και το bot υπάκουε χωρίς καμία αντίσταση.
Το πιο εξοργιστικό είναι ότι το σύστημα δεν ζητούσε κωδικό πρόσβασης ούτε κάποια διαδικασία ελέγχου ταυτότητας δύο παραγόντων. Το μόνο που χρειαζόταν ο επιτιθέμενος ήταν μια σύνδεση VPN από τοποθεσία κοντά στον στόχο, καθώς το σύστημα της Meta βασίζεται υπερβολικά στη γεωγραφική θέση για να επιβεβαιώσει τα αιτήματα. Ακόμα και στις περιπτώσεις που το bot ζητούσε μια selfie για ταυτοποίηση, οι χάκερ την παρέκαμπταν εύκολα χρησιμοποιώντας εργαλεία τεχνητής νοημοσύνης για να δημιουργήσουν μια ρεαλιστική εικόνα του κατόχου του λογαριασμού.
Θύματα υψηλού προφίλ
Η λίστα με τους λογαριασμούς που έπεσαν στα χέρια των χάκερ περιλαμβάνει ονόματα που δεν περιμένεις να δεις σε τέτοιες περιπέτειες. Ανάμεσά τους βρίσκονται λογαριασμοί μεγάλων εταιρειών όπως η Sephora, στελέχη της Space Force των ΗΠΑ, γνωστοί ερευνητές, προγραμματιστές, αλλά και ο αρχειοθετημένος λογαριασμός του Λευκού Οίκου επί προεδρίας Μπαράκ Ομπάμα. Η Meta δεν κατάφερε να προστατέψει ούτε καν τους πιο επώνυμους χρήστες της.
Η ειρωνεία της έλλειψης υποστήριξης
Η Meta λάνσαρε αυτό το AI bot τον Δεκέμβριο με σκοπό να απλοποιήσει τις διαδικασίες και, φυσικά, να μειώσει το κόστος του ανθρώπινου προσωπικού υποστήριξης. Το bot ανέλαβε καθήκοντα όπως η αναφορά απατών και η επαναφορά κωδικών πρόσβασης. Αυτή η λειτουργία επαναφοράς αποδείχθηκε το μεγάλο κενό ασφαλείας που εκμεταλλεύτηκαν οι επιτιθέμενοι.
Το αποκορύφωμα της απογοήτευσης είναι ότι οι χρήστες που έπεσαν θύματα δεν μπορούσαν καν να χρησιμοποιήσουν το ίδιο το bot για να ανακτήσουν τους λογαριασμούς τους. Επιπλέον, η εταιρεία δεν προσέφερε καμία διέξοδο προς ζωντανή ανθρώπινη υποστήριξη, αφήνοντας τους πάντες ξεκρέμαστους. Είναι σαφές ότι η Meta πρέπει να αναθεωρήσει άμεσα τα πρωτόκολλα ασφαλείας της, πριν το AI προκαλέσει μεγαλύτερη ζημιά.