اعترفت شركة “ميتا” باختراق أكثر من 20 ألف حساب على منصة إنستجرام، عبر استغلال ثغرة في روبوت الدعم الفني المدعوم بالذكاء الاصطناعي، وهو ما مكن القراصنة من الاستيلاء على الحسابات وإعادة تعيين كلمات المرور لبعض المستخدمين دون الحصول على صلاحية قانونية.
جاء ذلك في إشعار قدمته الشركة إلى سلطات ولاية “مين” الأمريكية، أوضحت فيه أن المشكلة نتجت عن خلل برمجي سمح للمهاجمين بطلب إعادة تعيين كلمة المرور لحسابات لا يملكونها، عبر تزويد النظام بعنوان بريد إلكتروني مختلف عن البريد المرتبط بالحساب المستهدف.
وقالت “ميتا” إن أداة الدعم نفسها كانت تعمل كما هو مصمم لها، لكن مسارًا برمجيًا منفصلًا احتوى على خطأ منع النظام من التحقق بصورة صحيحة من تطابق البريد الإلكتروني المُدخل مع البريد المسجل للحساب. ونتيجة لذلك، أرسل النظام روابط إعادة تعيين كلمة المرور إلى عناوين بريد إلكتروني غير مرتبطة بالحسابات بدلًا من رفض الطلبات.
وأوضحت الشركة أن الهجوم ظهر لأول مرة في 31 مايو الماضي، وقد أعلنت أنها عالجت المشكلة في الأول من يونيو. وخلال هذه المدة تأثرت عدة حسابات بارزة، منها الحساب القديم للبيت الأبيض المرتبط بالرئيس الأمريكي الأسبق باراك أوباما، بالإضافة إلى حسابات أخرى تعود إلى جهات وشخصيات معروفة.
وأضافت ميتا أنها لا تملك أدلة على وصول المهاجمين إلى بيانات شخصية للمستخدمين، لكنها حذّرت من أن الجهات التي استولت على الحسابات ربما تمكنت من الاطلاع على عناوين البريد الإلكتروني وأرقام الهواتف وتواريخ الميلاد والمنشورات والرسائل الخاصة ومعلومات الملف الشخصي وسجل النشاط والحسابات المرتبطة.
ووفقًا للإشعار، فقد بلغ عدد الحسابات المتأثرة المحتملة 20,225 حسابًا، وهي الحسابات التي أُعيد تعيين كلمات مرورها عبر أداة الدعم ولم تكن تستخدم المصادقة الثنائية. وأوضحت الشركة أن هذا الرقم يُعد الحد الأقصى المحتمل، إذ قد تكون بعض عمليات الوصول قد تمت بصورة مشروعة.
ولاحتواء الحادثة، أوقفت ميتا أداة الدعم المعتمدة على الذكاء الاصطناعي مؤقتًا، وأزالت الأكواد البرمجية المسببة للثغرة، كما أبطلت كافة روابط إعادة تعيين كلمات المرور التي أُنشئت عبر تلك الثغرة.
وأكدت الشركة كذلك إخضاع كافة الحسابات التي يُحتمل تأثرها لإجراءات أمنية إلزامية تتطلب التحقق من هوية المستخدم قبل السماح بالوصول مجددًا إلى الحسابات.
