앞서 보안 연구원들은 소셜 미디어 그룹 메타(Meta)가 소유한 인스타그램에 심각한 보안 문제가 있다는 사실을 밝혔습니다. 플랫폼에서 사용하는 AI 계정 복구 도우미에는 논리 취약점이 있습니다. 해커는 AI 계정 복구 도우미에게 직접 대화해 특정 계정의 비밀번호 재설정을 요청할 수 있고, 바인딩된 이메일 주소를 해커가 관리하는 이메일 주소로 변경할 수 있다. 전체 과정에서 AI 계정 복구 도우미는 개시자의 어떠한 확인도 요구하지 않습니다.
블랙 앤 그레이 갱단은 주로 고가치 인스타그램 계정을 표적으로 삼습니다. 이러한 계정에서 사용되는 사용자 ID는 일반적으로 매우 짧습니다. 해커들은 이러한 계정을 탈취하고 재판매하여 100만 달러 이상의 불법 이익을 얻었습니다. 보안 연구원들에 의해 노출된 메타는 취약점을 수정했으며 도난당한 계정을 처리 중이라는 메시지를 공개했습니다.
해결 방법은 프런트 엔드 인터페이스에서 AI 도우미를 숨기는 것입니다.
Meta가 취약점을 수정했다고 발표한 후에도 사용자 계정은 여전히 도난당했습니다. 심지어 Meta의 제품 관리 이사인 Esther Crawford(전 X/Twitter의 제품 관리 이사)도 그녀의 Instagram 계정을 해커들에게 도난당했습니다. 왜 이런 문제가 발생했나요? 메타는 취약점을 전혀 수정하지 않았기 때문에 단순히 프런트엔드 페이지에서 AI 계정 복구 도우미를 숨겼습니다.
숙련된 해커들은 AI Account Recovery Assistant API 엔드포인트에 여전히 접근이 가능하다는 것을 쉽게 알 수 있기 때문에 블랙앤그레이 제작진은 API를 통해 AI Account Recovery Assistant와 상호작용할 수 있는 텔레그램 로봇과 스크립트 도구를 직접 구축합니다. 이 프로세스는 프런트엔드 인터페이스에서 수동으로 액세스하는 것보다 훨씬 간단합니다. 즉, 전체 작업이 더 효율적으로 이루어지고 블랙 앤 그레이 프로덕션 갱단이 더 많은 계정을 더 빨리 훔칠 수 있다는 의미입니다.
전체 공격 프로세스에는 Meta의 데이터베이스, 백엔드 서버 또는 취약점 악용이 포함되지 않습니다. AI 계정 복구 도우미의 높은 권한 논리 문제를 악용할 뿐입니다. 즉, 메타는 AI 계정복구 도우미에게 너무 높은 권한을 부여하지만 프롬프트 단어 공격으로부터 보호하지는 않습니다. 따라서 해커는 프롬프트 문구를 이용해 AI 계정복구 도우미가 해커와 협력해 특정 계정의 비밀번호와 바인딩된 이메일 주소를 재설정하도록 유도할 수 있다.
2FA 인증을 활성화해도 도난이 방지되지는 않습니다.
이전 보고서에서는 사용자 계정이 2FA 인증에 바인딩된 경우 AI 계정 복구 도우미가 2FA 보호를 직접 우회할 수 없기 때문에 도난당할 수 없다고 언급한 바 있습니다. 그러나 지금은 상황이 다소 다를 수 있습니다. Meta가 수정 사항을 발표한 후 유명한 리버스 엔지니어인 Jane Manchun Wong의 계정도 도난당했고 그녀의 계정 자체에서 2FA 인증이 활성화되었습니다.
이러한 관점에서 AI 계정 복구 도우미는 이메일을 재설정한 후 사용자가 바인딩한 2FA 인증을 바인딩 해제할 수도 있습니다. 일반적으로 이메일을 통해 직접 2FA 연결을 해제하는 것은 불가능합니다. 해커들이 일종의 프롬프트 문구를 사용해 AI 계정 복구 도우미가 계정의 2FA 인증을 해제하도록 유도한 것으로 추정돼 현재 상황은 매우 혼란스러운 상황이며, 메타는 이 문제에 대응하기 위한 어떠한 정보도 공개하지 않고 있습니다.