يبدو أن ثورة الذكاء الاصطناعي التي تتباهى بها الشركات الكبرى قد ارتدت عليها بطريقة غير متوقعة، وهذه المرة الضحية هي شركة “ميتا” ومستخدمو منصة إنستغرام. ففي فضيحة أمنية جديدة ومحرجة، أكدت ميتا أن آلاف الحسابات على إنستغرام قد تعرضت للاختراق والسرقة بسبب ثغرة غريبة في روبوت الدردشة المعتمد على الذكاء الاصطناعي والمخصص لخدمة العملاء واسترداد الحسابات، حيث تمكن المخترقون بكل بساطة من خداع الروبوت وإقناعه بتسليمهم مفاتيح الحسابات دون عناء.
روبوت ذكي أم ساذج؟ تفاصيل الاختراق بالأرقام
وفقاً لإشعار خرق البيانات الرسمي الذي قدمته ميتا إلى مكتب المدعي العام في ولاية ماين الأمريكية، أرسلت الشركة تنبيهات إلى ما لا يقل عن 20,225 مستخدماً تؤكد فيها أن حساباتهم على إنستغرام قد تعرضت للاختراق بالكامل. ولم يقتصر الأمر على مجرد الدخول للحساب، بل تمكن المخترقون من السيطرة على الحسابات المرتبطة أيضاً، والوصول إلى معلومات الاتصال، وتواريخ الميلاد، والرسائل المباشرة (DMs)، والمنشورات، وكافة نشاطات الحساب.
هذا الاختراق الواسع يكشف عن مدى خطورة الاعتماد الكامل على الذكاء الاصطناعي في عمليات حساسة مثل استرداد الحسابات دون رقابة بشرية دقيقة أو آليات تحقق صارمة، مما جعل آلاف المستخدمين يقعون ضحية لثغرة برمجية كان يمكن تداركها بسهولة لو تم اختبار النظام بشكل كافٍ قبل إطلاقه للعامة.
كيف نجحت الخدعة؟ طلبوا الكود ببساطة فأعطاهم إياه!
تكمن تفاصيل الثغرة في نظام استرداد الحسابات المدعوم بالذكاء الاصطناعي لإنستغرام. حيث استهدف المخترقون الحسابات التي لم تقم بتفعيل ميزة “التحقق بخطوتين” (2FA). إذ قاموا بالتواصل مع روبوت خدمة العملاء وطلبوا منه إعادة تعيين كلمة المرور وإرسال رمز التحقق إلى بريد إلكتروني خاص بالمخترقين بدلاً من البريد الأصلي المسجل في الحساب. والمثير للسخرية أن الروبوت استجاب للطلب بكل أريحية وبلا أي تردد!
أوضحت ميتا في خطابها الرسمي: “الأداة نفسها كانت تعمل كما هو مخطط لها، ولكن بسبب خطأ في مسار برمجي منفصل، لم يقم النظام بالتحقق بشكل صحيح من أن عنوان البريد الإلكتروني الذي قدمه الشخص الذي يطلب إعادة تعيين كلمة المرور يطابق البريد الإلكتروني المرتبط بصاحب الحساب”. ونتيجة لهذا الخطأ الفادح، عندما قدم المخترق بريداً إلكترونياً جديداً، أرسل الروبوت رابط تعيين كلمة المرور إليه فوراً بدلاً من رفض الطلب.
فترة الاختراق والخطوات التي اتخذتها ميتا لتدارك الكارثة
تشير التقارير إلى أن هذه الحملة بدأت منذ حوالي 17 أبريل واستمرت لأسابيع حتى وقت قريب من هذا الأسبوع عندما تنبهت ميتا أخيراً وقامت بتأمين النظام. وخلال هذه الفترة، عاث المخترقون فساداً في حسابات آلاف المستخدمين دون علم الشركة. وقامت ميتا أخيراً بتعطيل الروبوت مؤقتاً وحذف الكود البرمجي المتسبب في المشكلة، كما بدأت في مراجعة كافة روبوتات الدردشة الأخرى عبر منصاتها لضمان عدم وجود ثغرات مشابهة.
يأتي هذا الحادث المحرج لشركة ميتا بعد وقت قصير من قيامها بتسريح آلاف الموظفين والمهندسين، بينما تواصل دفع مبالغ ومكافآت ضخمة للمسؤولين التنفيذيين معلنة عن توجهها الكامل نحو الذكاء الاصطناعي. ربما على ميتا أن تدرك أن الذكاء الاصطناعي السريع ليس بديلاً عن الأمان الحقيقي والمهندسين البشر المهرة الذين يحمون الأنظمة من مثل هذه الأخطاء الساذجة.
المصدر:
اترك رد