كشفت شركة ميتا أن قراصنة تمكنوا على الأرجح من الاستيلاء على أكثر من 20 ألف حساب في منصة إنستاجرام عبر استغلال ثغرة في روبوت الدعم الفني المدعوم بالذكاء الاصطناعي، مما أتاح إعادة تعيين كلمات المرور لبعض المستخدمين دون الحصول على صلاحية قانونية.
جاء ذلك في إشعار قدمته الشركة إلى سلطات ولاية “مين” الأميركية، أوضحت فيه أن المشكلة نتجت عن خلل برمجي سمح للمهاجمين بطلب إعادة تعيين كلمة المرور لحسابات لا يملكونها، عبر تزويد النظام بعنوان بريد إلكتروني مختلف عن البريد المرتبط بالحساب المستهدف.
قالت ميتا إن أداة الدعم نفسها كانت تعمل كما هو مصمم لها، لكن مساراً برمجياً منفصلاً احتوى على خطأ منع النظام من التحقق بصورة صحيحة من تطابق البريد الإلكتروني المُدخل مع البريد المسجل للحساب. ونتيجة لذلك، أرسل النظام روابط إعادة تعيين كلمة المرور إلى عناوين بريد إلكتروني غير مرتبطة بالحسابات بدلًا من رفض الطلبات.
أشارت الشركة إلى أن الهجوم ظهر لأول مرة في 31 أيار الماضي، وقد أعلنت أنها عالجت المشكلة في الأول من حزيران. خلال هذه المدة تأثرت عدة حسابات بارزة، منها الحساب القديم للبيت الأبيض المرتبط بالرئيس الأميركي الأسبق باراك أوباما، بالإضافة إلى حسابات أخرى تعود إلى جهات وشخصيات معروفة.
أضافت ميتا أنها لا تملك أدلة على وصول المهاجمين إلى بيانات شخصية للمستخدمين، لكنها حذّرت من أن الجهات التي استولت على الحسابات ربما تمكنت من الاطلاع على عناوين البريد الإلكتروني وأرقام الهواتف وتواريخ الميلاد والمنشورات الرسائل الخاصة ومعلومات الملف الشخصي وسجل النشاط والحسابات المرتبطة.
وفقاً للإشعار، فقد بلغ عدد الحسابات المتأثرة المحتملة 20,225 حسابًا، وهي الحسابات التي أُعيد تعيين كلمات مرورها عبر أداة الدعم ولم تكن تستخدم المصادقة الثنائية. وأوضحت الشركة أن هذا الرقم يُعد الحد الأقصى المحتمل، إذ قد تكون بعض عمليات الوصول قد تمت بصورة مشروعة.
لاحتواء الحادثة، أوقفت ميتا أداة الدعم المعتمدة على الذكاء الاصطناعي مؤقتاً، وأزالت الأكواد البرمجية المسببة للثغرة، كما أبطلت كافة روابط إعادة تعيين كلمات المرور التي أُنشئت عبر تلك الثغرة.
أكدت الشركة كذلك إخضاع كافة الحسابات التي يُحتمل تأثرها لإجراءات أمنية إلزامية تتطلب التحقق من هوية المستخدم قبل السماح بالوصول مجددًا إلى الحسابات.