كشفت شركة “ميتا” عن حادثة أمنية طالت منصة “إنستغرام”، بعدما استغل قراصنة خللًا في نظام استعادة الحسابات المدعوم بالذكاء الاصطناعي، ما مكّنهم من إعادة تعيين كلمات المرور والسيطرة المحتملة على أكثر من 20 ألف حساب.
وبحسب إشعار أرسلته الشركة إلى مكتب المدعي العام في ولاية مين الأمريكية، فإن الخلل ظهر في نظام يعرف باسم “High Touch Support”، وهو أداة مساعدة موجهة لاستعادة الحسابات عبر الذكاء الاصطناعي. وأوضحت “ميتا” أن الثغرة سمحت لأطراف غير مصرح لها بطلب روابط إعادة تعيين كلمة المرور لحسابات لا يملكونها، من خلال إدخال بريد إلكتروني غير مرتبط بالحساب المستهدف.
وتكمن خطورة الثغرة في أن النظام لم يتحقق بالشكل المطلوب من تطابق البريد الإلكتروني المُدخل مع البريد الأصلي المسجل في حساب إنستغرام. وبدلًا من رفض الطلب، كان يرسل رابط إعادة تعيين كلمة المرور إلى البريد الجديد، ما أتاح للمهاجمين تغيير كلمة المرور والدخول إلى الحسابات التي لم تكن تستخدم المصادقة الثنائية.
ووفق “ميتا”، اكتُشفت الثغرة في 31 ماي الماضي، قبل أن تعلن الشركة معالجتها في الأول من يونيو. وتشير تقارير تقنية إلى أن طريقة الاستغلال انتشرت عبر مجموعات على تطبيق تيليغرام ومنصات اجتماعية، حيث تداول بعض المستخدمين خطوات توضح كيفية استغلال روبوت الدعم لربط حساب مستهدف ببريد إلكتروني جديد، ثم طلب إعادة تعيين كلمة المرور.
وبلغ عدد الحسابات المتأثرة المحتملة 20,225 حسابًا، وفق بيانات “ميتا” المرسلة إلى سلطات ولاية مين، منها 30 مستخدمًا داخل الولاية. وأكدت الشركة أن هذا الرقم يمثل الحد الأقصى المحتمل للحسابات المتأثرة، لأن بعض عمليات إعادة تعيين كلمة المرور قد تكون تمت بصورة مشروعة.
شملت الحسابات التي جرى اختراقها أو استهدافها حسابات بارزة، من بينها حساب البيت الأبيض القديم المرتبط بالرئيس الأمريكي الأسبق باراك أوباما، وحسابات مرتبطة بعلامات تجارية وشخصيات عامة، بينها “سيفورا” ومسؤول عسكري أمريكي رفيع في قوة الفضاء، بحسب تقارير تقنية وإعلامية.
ورغم أن “ميتا” قالت إنها لا تملك دليلًا يؤكد وصول المهاجمين إلى بيانات شخصية للمستخدمين، فإنها حذّرت من أن السيطرة على الحسابات قد تكون سمحت بالاطلاع على معلومات داخلية، مثل عناوين البريد الإلكتروني، أرقام الهواتف، تواريخ الميلاد، المنشورات، الرسائل الخاصة، معلومات الملف الشخصي، سجل النشاط، والحسابات المرتبطة.
ولاحتواء الحادثة، أوقفت “ميتا” أداة الدعم المعتمدة على الذكاء الاصطناعي مؤقتًا، وأزالت المسار البرمجي المسبب للثغرة، كما أبطلت روابط إعادة تعيين كلمات المرور التي أُنشئت عبر هذا الخلل. وأخضعت الشركة الحسابات التي يُحتمل تأثرها لإجراءات تحقق أمنية إلزامية قبل السماح للمستخدمين باستعادة الوصول إليها.
تعيد هذه الحادثة طرح أسئلة جدية حول حدود الاعتماد على الذكاء الاصطناعي في خدمات الدعم الفني، خصوصًا عندما ترتبط هذه الخدمات بإجراءات حساسة مثل استعادة الحسابات وتغيير كلمات المرور. فبينما تسعى الشركات الكبرى إلى استخدام الذكاء الاصطناعي لتسريع خدمة المستخدمين، تكشف هذه الواقعة أن أي خلل في منطق التحقق أو صلاحيات التنفيذ قد يحول الأداة نفسها إلى نقطة دخول للقراصنة.
بن عشور خديجة
