Meta vá lỗi sau vụ chatbot AI bị lợi dụng để chiếm đoạt tài khoản nổi tiếng

Meta vừa xác nhận đã khắc phục một lỗ hổng bảo mật nghiêm trọng trong hệ thống hỗ trợ bằng trí tuệ nhân tạo (AI) sau khi tin tặc lợi dụng điểm yếu này để chiếm đoạt hàng loạt tài khoản Instagram nổi tiếng.

Lỗ hổng xuất hiện trong hệ thống chatbot AI mà Meta triển khai nhằm hỗ trợ người dùng xử lý các vấn đề liên quan đến tài khoản và bảo mật. Đây là một phần của tính năng được công ty giới thiệu vào tháng 3 năm nay với mục tiêu tăng cường khả năng bảo vệ tài khoản trước các nguy cơ bị xâm nhập.

Tuy nhiên, thay vì ngăn chặn các cuộc tấn công, chatbot AI lại trở thành công cụ bị hacker lợi dụng. Phương thức tấn công được đánh giá là khá đơn giản nhưng mang lại hiệu quả bất ngờ.

Tin tặc lợi dụng lỗ hổng của Meta khi triển khai AI hỗ trợ bảo mật tài khoản. Ảnh: The Independent/Znews

Trước tiên, tin tặc sử dụng mạng riêng ảo (VPN) để giả lập vị trí địa lý trùng khớp với khu vực của tài khoản mục tiêu. Sau đó, chúng khởi tạo quy trình đặt lại mật khẩu và gửi yêu cầu trực tiếp đến chatbot AI của Meta, đề nghị liên kết tài khoản với một địa chỉ email mới do chúng kiểm soát.

Do thiếu các bước xác minh danh tính chặt chẽ, chatbot đã gửi mã xác nhận tới email mới này. Sau khi nhập mã, kẻ tấn công có thể thiết lập lại mật khẩu và giành toàn quyền kiểm soát tài khoản.

Nhiều tài khoản có sức ảnh hưởng lớn đã trở thành nạn nhân của lỗ hổng, trong đó có tài khoản của cựu Tổng thống Barack Obama, Thượng sĩ trưởng Lực lượng Không gian Mỹ John Bentivegna và thương hiệu mỹ phẩm Sephora. Toàn bộ quy trình khai thác được ghi lại bằng video, ảnh chụp màn hình và lan truyền trên các kênh Telegram chuyên về nghiên cứu bảo mật.

Vụ việc cũng bộc lộ những hạn chế trong mô hình hỗ trợ hoàn toàn bằng AI. Một số nạn nhân cho biết họ không thể chuyển yêu cầu sang nhân viên hỗ trợ thực sự khi gặp sự cố vì toàn bộ quy trình xử lý đều do chatbot đảm nhận.

Không chỉ khai thác lỗ hổng, các nhóm hacker còn công khai trao đổi, mua bán danh sách những tài khoản giá trị cao trên Telegram. Các tài khoản có tên ngắn từ một đến bốn ký tự hoặc chứa các từ phổ biến được xem là mục tiêu hấp dẫn do giá trị thương mại và mức độ nhận diện cao.

Trước phản ứng từ cộng đồng, Meta cho biết sự cố đã được xử lý và công ty đang tăng cường các biện pháp bảo mật đối với những tài khoản bị ảnh hưởng. Tuy nhiên, vụ việc tiếp tục làm dấy lên những lo ngại về việc giao phó các chức năng bảo mật quan trọng cho AI mà thiếu cơ chế kiểm soát và xác minh phù hợp.

Các chuyên gia nhận định đây là bài học đáng chú ý đối với các công ty công nghệ trong quá trình ứng dụng trí tuệ nhân tạo. Dù AI có thể giúp tự động hóa hoạt động hỗ trợ khách hàng, những khâu liên quan đến xác thực danh tính và bảo mật tài khoản vẫn cần có các lớp kiểm tra độc lập nhằm ngăn ngừa nguy cơ bị lợi dụng như trường hợp vừa xảy ra tại Meta.

Trí tuệ nhân tạo: Chatbot AI của Meta cán mốc 1 tỷ người dùng mỗi thángNgày 28/5, ông chủ của Meta Mark Zuckerberg đã công bố thành tích ấn tượng của trợ lý trí tuệ nhân tạo tạo sinh (Gen AI) khi công cụ này đang được 1 tỷ người sử dụng mỗi tháng trên các nền tảng của Meta. Biểu tượng của OpenAI và ChatGPT. Ảnh: AFP/TTXVN. Tại cuộc họp cổ đông thường niên của Meta, ông...