해커가 메타 AI 지원 챗봇을 속여 인스타그램 계정 탈취
원제: Hackers hijacked Instagram accounts by tricking Meta AI support chatbot into granting access
왜 중요한가
AI 챗봇의 보안 취약점이 대규모 계정 탈취로 이어져 AI 시스템 보안 강화 필요성을 보여준 사례
해커들이 메타의 AI 지원 챗봇을 속여서 여러 인스타그램 계정을 탈취했다. 오바마 시대 백악관 계정과 미 우주군 관련 계정 등이 피해를 당했으며, 메타는 6월 1일 해당 보안 문제를 해결했다고 발표했다.
해커들이 메타의 AI 지원 챗봇을 이용해 인스타그램 계정을 탈취하는 새로운 공격 방법이 발견됐다. 주말 동안 Reddit과 X 사용자들이 계정 탈취 피해를 신고했으며, 피해자에는 2017년부터 비활성 상태인 오바마 시대 백악관 인스타그램 계정과 미 우주군 최고선임상사 John Bentivegna의 계정, 보안 연구원 Jane Wong의 계정 등이 포함됐다. X에 공개된 영상에 따르면, 해커는 VPN을 사용해 피해자의 위치를 스푸핑한 후 메타 AI 지원 어시스턴트와 채팅을 시작했다. 챗봇에게 대상 계정에 새 이메일 주소를 추가하도록 요청하면, 챗봇은 해커가 제공한 이메일로 인증 코드를 전송했다. 해커가 인증 코드를 입력하면 챗봇은 '비밀번호 재설정' 버튼을 표시하고, 해커는 새 비밀번호를 설정해 계정을 탈취할 수 있었다. 이 공격의 핵심은 해커가 피해자의 기존 이메일 계정을 해킹할 필요가 없다는 점이었다. 인스타그램 대변인 Andy Stone은 월요일 해당 문제가 해결됐다고 발표했다.