Meta ने AI chatbot के दुरुपयोग से Instagram के हज़ारों अकाउंट हैक होने की पुष्टि की

 (this.weekinsecurity.com)
1 पॉइंट द्वारा GN⁺ 7 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Instagram के AI-सहायित अकाउंट रिकवरी सिस्टम की एक कमजोरी के कारण password reset link हमलावर के नियंत्रण वाले email पर भेजा गया, जिससे अकाउंट takeover संभव हो गया
  • data breach notice के अनुसार Meta ने कम से कम 20,225 लोगों को अकाउंट breach की सूचना दी
  • हमलावर पूरे Instagram और linked accounts पर कब्ज़ा कर सकते थे, और contact details, जन्मतिथि, profile information, posts, direct messages और account activity तक पहुँच सकते थे
  • एक अलग code path में bug के कारण system यह verify नहीं कर पाया कि request email और account email मेल खाते हैं या नहीं, जिससे two-factor authentication बंद होने पर password reset का दुरुपयोग संभव हुआ
  • Meta ने AI chatbot को disable कर दिया है और account reset code path हटा दिया है, साथ ही दोबारा ऐसी घटना रोकने के लिए दूसरे chatbots की भी जाँच कर रहा है

नुकसान का दायरा और उपलब्ध जानकारी

  • Meta ने data breach notice में कम से कम 20,225 लोगों को अकाउंट breach की जानकारी दी, जिनमें Maine के 30 निवासी शामिल थे
  • अकाउंट breach पूरे Instagram अकाउंट और linked accounts के takeover तक ले जा सकता था, और इसके साथ contact information, जन्मतिथि, profile information, posts, direct messages और account activity तक पहुँच संभव थी
  • हैकिंग के दौरान वास्तव में कौन-सी personal information तक पहुँच हुई, यह Meta को अभी पता नहीं है

कमजोरी और उसका दुरुपयोग कैसे हुआ

  • यह breach Instagram के AI-सहायित अकाउंट रिकवरी सिस्टम की कमजोरी से जुड़ा था, जिसका इस्तेमाल Instagram user accounts के password reset के लिए किया गया
  • इस flaw ने two-factor authentication चालू न होने वाले अकाउंट्स का password किसी के लिए भी reset करना संभव बना दिया, और chatbot ने verification code अकाउंट मालिक के email की बजाय हमलावर के नियंत्रण वाले email पर भेज दिया
  • एक अलग code path में मौजूद bug के कारण system password reset request करने वाले व्यक्ति द्वारा दिए गए email address और संबंधित Instagram अकाउंट से जुड़े email address के बीच मेल का सही तरह से verification नहीं कर पाया
  • जब अकाउंट से पहले कभी न जुड़ा हुआ email address दिया गया, तब system ने request को reject नहीं किया और उसी email पर password reset link भेज दिया, जिससे कोई अनधिकृत third party अपने स्वामित्व में न होने वाले अकाउंट का reset link प्राप्त कर सकती थी
  • हमलावर इस चरण पर पीड़ित का password reset करके वैध मालिक होने का दिखावा करते हुए अकाउंट takeover कर सकता था
विज्ञापन

समयावधि और users को सूचना

  • Maine की सूची के अनुसार हैकिंग लगभग 17 अप्रैल से शुरू हुई और इस सप्ताह तक जारी रही, जब Meta ने chatbot को सुरक्षित किया
  • Instagram ने इस सप्ताह की शुरुआत में प्रभावित लोगों को password reset alerts भेजना शुरू किया, और कुछ लोगों ने बताया कि हैकिंग अब भी जारी है
  • Meta ने प्रभावित users को password reset करने और सुरक्षित व सत्यापित channels के ज़रिए दोबारा authentication पूरा करने का निर्देश दिया

Meta की कार्रवाई और बाकी अस्पष्टताएँ

  • Meta ने फिलहाल AI chatbot को disable कर दिया है और वह code path हटा दिया है जो chatbot को user accounts reset करने देता था
  • Meta ऐसी घटनाओं की पुनरावृत्ति रोकने के लिए अपने platform पर मौजूद दूसरे chatbots की भी जाँच कर रहा है
  • chatbot के दुरुपयोग तक पहुँचने वाली सटीक परिस्थितियाँ अब भी स्पष्ट नहीं हैं
  • यह घटना ऐसे समय हुई है जब Meta लगातार AI पर ध्यान दे रहा है, और हज़ारों कर्मचारियों की छंटनी तथा शीर्ष executives को stock incentives दिए जाने के बाद सामने आई

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 7 시간 전
Hacker News की राय

  • Meta की breach notification में लिखा है, “टूल खुद सामान्य रूप से, जैसा इरादा था वैसा काम कर रहा था, लेकिन एक अलग code path में bug की वजह से password reset माँगने वाले व्यक्ति द्वारा दिया गया email address उस Instagram account के email से मेल खाता है या नहीं, यह ठीक से verify नहीं हो पाया”, लेकिन इस स्थिति को सामान्य रूप से काम करना या इरादे के मुताबिक काम करना कहना सही नहीं लगता

    • इतालवी में एक कहावत है, “ऑपरेशन पूरी तरह सफल रहा, लेकिन मरीज़ मर गया”
    • वह वाक्य ऐसे पढ़ाई देता है: “यह जैसा लिखा गया था वैसा चला, और हम इस software के लिए परिणामी या आकस्मिक नुकसान की जिम्मेदारी से इनकार करते हैं और कोई warranty नहीं देते।”
      मुझे लगातार लगता है कि अमेरिका में बहुत-सी चीज़ें ठीक करने के लिए UCC[1] को update करना होगा ताकि products में इस्तेमाल हुए software के लिए liability disclaimer देना संभव न रहे।
      [1] Universal Commercial Code -- https://www.law.cornell.edu/ucc
    • यानी टूल सही तरह और इरादे के मुताबिक काम कर रहा था, लेकिन bug की वजह से न सही तरह काम कर रहा था न इरादे के मुताबिक
    • जब Claude या ChatGPT से किसी गलती की ओर इशारा किया जाए, या software problem पर customer support जवाब माँगा जाए, तो वे जो बहाने बनाते हैं, यह काफी वैसा ही लगता है
    • यहाँ तर्क यह है कि AI एक भरोसेमंद दिखने वाला input page है।
      input field ने username और email लेकर backend function को भेज दिया, इस हिस्से तक यह इरादे के मुताबिक काम करने वाला input page था; समस्या यह है कि backend function ने verify ही नहीं किया कि email username से मेल खाता है या नहीं

  • “Meta ने कम से कम 20,225 लोगों को account compromise होने की सूचना दी… hackers पीड़ित के पूरे Instagram और जुड़े हुए accounts पर कब्ज़ा कर सकते थे, और contact information, जन्मतिथि, profile जानकारी के साथ-साथ posts, DM, और account activity तक access कर सकते थे… hacking लगभग 17 अप्रैल से शुरू हुई और इस हफ्ते तक चलती रही”, तो यह चौंकाने वाला पैमाना है

    • मुझे Meta पसंद नहीं है, लेकिन “चौंकाने वाला” है या नहीं, यह absolute number से ज़्यादा प्रभावित users के अनुपात से तय करना चाहिए।
      1 लाख customers वाली किसी midsize company के लिए यह चौंकाने वाला होगा, लेकिन 3 अरब monthly active users वाले internet giant के लिए यह बुरा तो है, पर शायद “चौंकाने वाला” नहीं
    • लगता है Meta ने अपनी service पर bot traffic को खुलकर कुछ भी करने देना explicitly allow किया हुआ है, इसलिए detection से बचना संभव रहा।
      बस यह मत कहिए कि लोग सेना की तरह उमड़कर एक-एक account compromise कर रहे थे
    • बस यही उम्मीद है कि EU वैश्विक revenue के 4% की ऊपरी सीमा के बेहद करीब GDPR fine लगाए।
      हालांकि जब वास्तव में customers की रक्षा करनी होती है, तब EU सही काम करेगा या नहीं, इस पर संदेह है

  • नए product के लिए बनाया गया account automated system द्वारा permanently disable कर दिया गया, और किसी इंसान के पास appeal करने का कोई तरीका नहीं था।
    अगर कोई Meta/Instagram कर्मचारी यह देख रहा हो, तो मैंने details एक छोटे blog post में लिखी हैं, मदद मिले तो अच्छा होगा।
    https://addisonwebb.com/blog/2026-06-05-Can%20Someone%20at%2...

    • Meta यह मांगता है कि base account किसी व्यक्ति का हो, product, business, या non-human entity का नहीं।
      इसलिए “verify करें कि आप इंसान हैं” वाली प्रक्रिया आई, और फिर base account को इस community standard के उल्लंघन में lock कर दिया गया कि base account इंसान का होना चाहिए।
      आपने जो community standards page link किया है, वह काफी घना है, इसलिए अगर आपने adult content जैसी कोई स्पष्ट चीज़ post नहीं की, तो आसानी से लग सकता है कि आपने कुछ भी गलत नहीं किया।
      जिस clause का उल्लंघन हुआ, वह यह है: “business, pet, या virtual character जैसी non-human entity का प्रतिनिधित्व करने वाला account न बनाएं।”
      आपको personal account से business page set up करने वाली प्रक्रिया का पालन करना चाहिए।
      आजकल हर social media platform पर business page बनाते समय official path पढ़ना ज़रूरी है, और सब पर spam व scam pages की बाढ़ रोकने का दबाव है
    • अफसोस की बात है कि यह बहुत आम है, और industry में brand या product page पहली बार बनाते समय इसे लगभग expected outcome माना जाता है।
      अगर फिर भी हल न निकले, तो किसी brand/ad agency से संपर्क करके करीब 100 डॉलर दें और उनसे अपने Meta contact के जरिए unban कराने को कहें।
      व्यवहार में, ऐसे accounts बनाने के लिए आपको किसी ऐसे व्यक्ति को जानना पड़ता है जो Meta में किसी को जानता हो।
      टिप: इस समस्या को Twitter या किसी और platform पर पोस्ट न करना बेहतर है। automated spam की बाढ़ आ जाएगी
    • anti-detect browser आज़माना भी एक तरीका है।
      ऐसे tools नए accounts बनाने जैसे कामों के लिए बनाए गए हैं
    • मैंने meetup group के लिए पूरी तरह अलग account बनाने की कोशिश की थी और वही समस्या आई; जो भी किया, कुछ काम नहीं आया
    • यह हिस्सा सच में बहुत खराब है।
      जब भी business purpose के लिए account बनाने की कोशिश करता हूँ, कुछ ही मिनटों में ID माँग ली जाती है, और उसके बाद भी account ban हो जाता है।
      सब कुछ personal account के जरिए ही संभालना पड़ता है

  • यह बात कुछ दिन पहले Hacker News पर भी आई थी (https://news.ycombinator.com/item?id=48359102)
    यह Meta की लापरवाह verification नहीं, बल्कि असली hacking method की व्याख्या थी

  • काश यह Meta के पतन को थोड़ा और तेज़ कर दे।
    दुनिया social media के बिना भी ठीक से ढल जाएगी

    • व्यवहारिक रूप से इसका Meta पर क्या असर पड़ेगा? कुछ लोग नाराज़ होंगे, लेकिन बाकी परवाह नहीं करेंगे, और सब पहले की तरह चलता रहेगा
    • यह समझना मुश्किल है कि यह कंपनी अभी भी प्रति तिमाही 1 billion dollar से ज़्यादा net profit कमाती है
    • विकल्प क्या है? 22 हज़ार में से काफी लोग ऐसे accounts हो सकते हैं जिनके पास बड़ा audience है, जहाँ तक पहुँचना सिर्फ बड़े platform के सहारे संभव है।
      दुर्भाग्य से Meta लगभग इकलौता ऐसा platform है जो कई demographic groups में लोगों तक पहुँचने देता है, और असली बात उन 22 हज़ार accounts को follow करने वाले लोग हैं।
      वे इस घटना के सीधे शिकार नहीं हैं, इसलिए Meta नहीं छोड़ेंगे, और 99% लोगों को या तो पता भी नहीं होगा कि यह हुआ, या उन्हें कोई फर्क नहीं पड़ेगा

  • AI-सहायित अकाउंट रिकवरी सिस्टम” — Meta आखिर कर क्या रहा है?

    • इतनी मीठी Kool-Aid का स्वाद कैसे ठुकराते
      फिर भी यह सचमुच नहीं करना चाहिए था, और यह बड़े AI IPOs पर क्या असर डालेगा, यह जानने की जिज्ञासा है
      Meta भी इस क्षेत्र का एक बड़ा खिलाड़ी है, और अगर ये लोग भी इसे ठीक से नहीं कर पा रहे हैं तो…
    • अकाउंट रिकवरी किसी भी सेवा में अब तक का सबसे ज़्यादा आने वाला टिकट प्रकार होता है
      क्योंकि लोग अपने credentials भूल जाते हैं, खो देते हैं, hack हो जाते हैं, या उनकी नकल की जाती है, और यह तो सिर्फ वैध requests की बात है
      इसके ऊपर रोज़ के script kiddies से लेकर फिरौती चाहने वाले उगाहीबाज़ों तक, “कीमती” handles चुराने की कोशिश करने वाले लोगों तक, और सरकार-विरोधी accounts को message भेजने वालों के DMs तक पहुंच पाने की कोशिश करने वाले state actors तक — अवैध requests भी जुड़ जाती हैं
      इसलिए तीन बातें साथ आती हैं। इंसानों से ये tickets देखवाना बहुत महंगा पड़ता है, request को handle करो या न करो PR का नुकसान बहुत बड़ा हो सकता है, और users/customers दुनिया के सबसे होशियार और अमीर लोगों से लेकर भालुओं से भी बदतर निर्णय क्षमता वाले पर्यटकों[1] या ठीक से लिख भी न पाने वाले लोगों तक फैले होते हैं
      इससे भी बुरा यह है कि कई online services के पास सरकारी पहचान पत्र से जुड़ने का कोई साधन ही नहीं होता, mobile phone SIM जैसा proxy माध्यम भी नहीं हो सकता, हर स्तर पर corruption घुस सकता है, और खासकर “रसदार” targets पर अगर उन्हें पैसे में बदला जा सके तो दांव लाखों डॉलर तक पहुंच सकता है
      अकेले Instagram के ही दुनिया भर में 3 अरब users हैं, इसलिए user support का खर्च बहुत बड़ा होना तय है, साथ ही दुनिया भर में सक्रिय करीब 7,000 भाषाओं[2] से भी निपटना पड़ता है, और जिन लोगों को निशाना बनाया जाता है उनमें अमेरिका के राष्ट्रपति जितनी शक्ति वाले या Elon Musk जितने अमीर लोग भी शामिल हो सकते हैं
      यह साफ़ है कि पूरे विचार में risk management बेहद खराब था, लेकिन शुरुआत से ही इस क्षेत्र को कोई मामूली समस्या समझने का नाटक भी नहीं करना चाहिए
      इसी वजह से AI को आगे धकेला जा रहा है, क्योंकि अगर इसे सही बनाया जाए तो यह first-line support desk का बहुत सारा काम बहुत कम लागत पर काफी हद तक कम कर सकता है
      [1] https://velvetshark.com/til/til-smartest-bears-dumbest-touri...
      [2] https://www.sapiens.org/language/world-languages-counting-me...

  • शीर्षक को बदलकर “Meta ने पुष्टि की कि असुरक्षित AI chatbot की वजह से हज़ारों Instagram accounts hack हुए” कर देना चाहिए

  • मुझे समझ नहीं आता कि ऐसी चीज़ बनाते समय “क्या user किसी दूसरे email की मांग कर सकता है” यह शाब्दिक रूप से पहला test क्यों नहीं था
    क्या scale इतना बड़ा है कि कोई testing ही नहीं की जाती?

    • इस आविष्कार का सार ही लोगों को दिमाग लगाने की ज़िम्मेदारी से मुक्त करना है
      अपवाद होंगे, लेकिन ज़्यादातर लोग AI को इस मानसिकता से इस्तेमाल करना चाहते हैं कि उन्हें आलसी रहने दिया जाए
    • बचाव में कहें तो, शायद LLM से गलती न करने के लिए कहा गया होगा
    • क्योंकि software industry user experience की सादगी और developer experience की सादगी को गड्डमड्ड कर रही है
      development के दौरान शायद user experience तो दूर, support staff के experience के बारे में भी नहीं सोचा गया होगा
      संभव है कि सिर्फ अपने developer experience को देखते हुए LLM से chatbot बनवाया गया, वह चल पड़ा, उसकी speed दस्तावेज़ करके ऊपर report की गई, और shareholders के investment को प्रोत्साहित किया गया
      अगर पहले से गंभीर विचार किया गया होता, तो वह इस कहानी के ख़िलाफ़ जाता कि AI engineer बन जाएगा या productivity को 100 गुना बढ़ा देगा

  • Facebook की कुछ posts के नीचे दिखने वाले हास्यास्पद रूप से घटिया “Q&A chatbot” को देखकर, और उस system को देखकर जो ज़्यादातर मौकों पर अनुचित और सामान्य comments में फर्क भी नहीं कर पाता, समझ आता है कि Meta AI में कितना पीछे है