Штучний інтелект Meta, що надає підтримку користувачам, прив’язував електронні адреси для відновлення до облікових записів на запит будь-кого, і служби безпеки (SOC) не помітили жодного сповіщення. Авторизований агент створює журнал законних транзакцій, тому жоден компонент системи виявлення не спрацював. Зловмисники зверталися до бота з проханням внести зміни, отримували одноразовий код, який він надсилав, і запускали процес скидання пароля, як повідомляє 404 Media.
Жодного шкідливого програмного забезпечення, жодних викрадених облікових даних і жодного “prompt injection” (впровадження команд) у тому сенсі, до якого звикли команди безпеки. Агент робив саме те, для чого його створила Meta. Саме це має турбувати керівника відділу безпеки: захоплення контролю не зламало жоден запобіжник; воно скористалося вже наявним довірчим механізмом.
Системи безпеки потребують можливості переглядати кожен шлях відновлення через “сітку аудиту” разом з командою, що розробляє ШІ, ще до закриття наступного періоду звітності. “Сітка аудиту повноважень ШІ” (AI Authority Audit Grid), наведена нижче, відображає кожну операцію запису автентифікації, яку може виконати агент підтримки під час відновлення, що довела ситуація з Meta щодо кожної з них, чому вона залишається невидимою для SOC, та який контроль її закриває.
Агент є авторизованим суб’єктом, тому SOC розглядає захоплення контролю як звичайний трафік
З точки зору системи виявлення, атака не генерувала жодного сигналу, який би система могла розпізнати. Агент прив’язує нову електронну адресу, потім скидає пароль, і журнали управління ідентифікацією та доступом (IAM) фіксують обидві дії як виконані авторизованим суб’єктом. Отже, кожна дія потрапляє до стану автентифікації як законна транзакція. Жодного аномального входу в систему, жодного сплеску невдалих спроб аутентифікації, нічого для EDR чи DLP, жодного правила SIEM для співставлення, оскільки ніщо в послідовності дій не виглядає як атака. Захоплення контролю відбувалося в межах довірчої зони, яку система вважає безпечною. Не було “сліду” для виявлення, оскільки саме агент був цим “слідом”, і він мав бути там.
Ланцюжок дій був майже образливо простим. Браян Кребс задокументував версію, яку проіранські хакери опублікували в Telegram 31 травня. Атакувальник вмикав VPN, щоб імітувати присутність у регіоні жертви, оминаючи сигналізацію Instagram щодо місцезнаходження, а потім просив помічника підтримки додати нову електронну адресу та надіслати код верифікації, як підтвердила BBC на основі тих самих записів. Бот виконав запит, надіславши одноразовий код безпосередньо атакувальнику, як повідомив Gizmodo. Скидання пароля завершилося, і власник втратив доступ до облікового запису за лічені хвилини. Як повідомляє Кребс, експлойт не спрацював проти облікових записів із увімкненою багатофакторною автентифікацією (MFA).
Захоплені облікові записи не були “легкими цілями”. Серед них були Sephora, старший сержант-майор Космічних сил США Джон Бентівенья, дослідниця Джейн Манчун Вонг та неактивний акаунт Білого дому часів Обами, який на короткий час публікував змінене зображення, згідно з 404 Media. Meta заперечує причетність до акаунта Обами, за даними TechCrunch, і називає заяви про зламування облікових записів високопосадовців “цілковитою неправдою”, як повідомляє BBC. Інші випадки залишаються підтвердженими.
MFA спрацювала. Шлях відновлення поруч — ні.
Деталь, яка визначила, хто вижив, була надзвичайно вузькою. Кребс повідомив, що атака не спрацювала проти облікових записів з багатофакторною автентифікацією, навіть SMS. Шлях відновлення поруч був прогалиною. Коли для цього шляху вимагалося відеоселфі, атакувальники пропускали загальнодоступні фотографії жертви через генератор відео за допомогою ШІ та надсилали кліп, який Meta приймала як дійсну перевірку особи, як повідомляє gHacks. У будь-якому випадку, причиною провалу були двері відновлення, а не двері входу, які захищає MFA.
Це робить проблему архітектурною, а не проблемою Meta. MFA захищає шлях входу як для власника, так і для атакувальника, але шлях відновлення проходить поруч, створений для послаблення звичайних перевірок, оскільки він призначений для моменту, коли користувач втратив нормальний спосіб доступу. Meta розмістила агента на цьому шляху з правом запису до стану автентифікації та без детермінованої перевірки між переконливим запитом і фіксацією змін. Авторизація не може жити всередині моделі, оскільки розмовну систему можна “переконати” пропустити перевірку. Вона повинна жити поза моделлю, в захисному механізмі, який агент не може обійти розумовими маніпуляціями. Дослідники безпеки мають назву для цієї схеми — “спантеличений заступник” (confused deputy), довірена система, яку обманом змусили скористатися своїми привілеями від імені атакувальника.
Це не останній агент підтримки, який передасть обліковий запис. Іан Голдін, дослідник загроз у Lumen’s Black Lotus Labs, заявив Кребсу (Krebs on Security), що ШІ-боти так само легко піддаються соціальній інженерії, як і люди-оператори, яких вони замінюють, і так само прагнуть допомогти. “Чат-боти зі штучним інтелектом створюють цікаві нові поверхні для атак, і ми, ймовірно, побачимо набагато більше таких атак”, — сказав Голдін. Кожне підприємство, що інтегрує агента у процес відновлення, надання доступу або скидання пароля, передає такі ж права запису, як і Meta.
Саймон Віллісон, який вигадав термін “prompt injection”, висловився про це прямо у своєму блозі. “Meta справді підключила свою систему підтримки до чат-бота зі штучним інтелектом, який мав можливість пропустити весь процес відновлення облікового запису”, — написав він. “Це навряд чи можна назвати навіть ‘prompt injection’. Не підключайте свого бота підтримки так, щоб він дозволяв миттєве захоплення облікового запису”. Атакувальник насправді не обманював агента. Атакувальник попросив, а агент отримав недовірені вхідні дані, права запису та спосіб виконання — все одночасно.
OWASP назвав цей клас загроз ще до того, як Meta його впровадила: “Надмірна діяльність” (Excessive Agency) у LLM06 та “Зловживання ідентифікацією та привілеями” (Identity and Privilege Abuse) у ASI03 в Agentic AI Top 10. Попереджувальна етикетка була на коробці: Meta запровадила помічника для кожного облікового запису Facebook та Instagram у березні, згідно з 404 Media, надавши йому повноваження скидати паролі та обробляти відновлення, а на сторінці продукту обіцялося “рішення, а не просто пропозиції” під слоганом “безпека облікового запису та відновлення”. Meta надала агенту повноваження, але не створила захисного механізму для їх контролю.
Сітка аудиту повноважень ШІ
Керівники відділів безпеки повинні застосувати цю сітку до власних агентів підтримки ще до закриття наступного періоду звітності. Кожен рядок — це операція запису автентифікації, яку виконує агент під час відновлення, з тим, що довела Meta, чому ваша система її пропускає, і який контроль її закриває.
|
Запис автентифікації |
Що довела Meta |
Чому ваша система пропускає це |
Корпоративний контроль та відповідальний |
|
Автентифікація входу (MFA, запити факторів) |
Спрацювало під час входу. Облікові записи з будь-якою увімкненою MFA, навіть SMS, вижили (Krebs). Прогалина полягала в шляху відновлення поруч. |
MFA захищає шлях входу як для власника, так і для атакувальника. Вона не захищає шлях відновлення поруч. |
Застосовуйте MFA як базовий рівень і розширюйте поетапну перевірку на шлях відновлення, як і для звичайного входу (OWASP). Відеоселфі не є доказом особи. Будь-який агент, який діє на шляху, що не покривається MFA, провалить аудит. Відповідальний: IAM. |
|
Перев’язка електронної пошти |
Повне захоплення контролю. Агент прив’язував електронні адреси, контрольовані атакувальником, за запитом, захопивши Sephora та обліковий запис Космічних сил США (404 Media). |
IAM реєструє агента як авторизованого суб’єкта, тому перев’язка розглядається як законна транзакція, і жодне сповіщення не надходить до SOC або власника облікового запису. |
Підтверджуйте поза каналом зв’язку (out-of-band) з існуючим перевіреним контактом перед фіксацією будь-якої перев’язки, контролюйте це поза моделлю та повідомляйте стару адресу в момент її зміни (IBM). Агент, який перев’язує адресу без підтвердження старої адреси, провалюється. Відповідальний: IAM та інженерія платформи. |
|
Скидання пароля |
Повне захоплення контролю за хвилини. Серед постраждалих облікових записів була дослідниця Джейн Манчун Вонг (404 Media). |
Скидання відбувається шляхом відновлення, поза перевіркою MFA при вході, тому жодного запиту фактора не надходить і жодне правило виявлення не спрацьовує. |
Вимагайте другий, не-електронний фактор перед завершенням будь-якого скидання. NIST виключив електронну пошту як дійсний канал зв’язку поза каналом (NIST 800-63B). Скидання через агента повинно проходити ту ж перевірку, що й скидання людиною. Відповідальний: IAM. |
|
Зміна методу відновлення |
Постійне блокування. Жертви не могли відновити доступ самостійно. Цикл підтримки пропонував лише ШІ без можливості ескалації до людини (BleepingComputer). |
Тиха заміна електронної пошти або телефону для відновлення позбавляє власника шляху повторного входу без видимості для SOC. |
Вимагайте поетапну перевірку при будь-якій зміні, повідомляйте попередній метод і надавайте доступ зі зменшеними повноваженнями із затримкою часу після відновлення, щоб заміна ніколи не надавала миттєвий контроль (Authsignal). Зберігайте шлях ескалації до людини, який агент не може закрити. Відповідальний: GRC та ІТ-операції. |
|
Виконання дії облікового запису |
Ризик швидкості. Неактивний акаунт Білого дому часів Обами короткочасно відобразив змінене зображення під час атаки, хоча Meta заперечує, що цей акаунт був захоплений таким чином (TechCrunch). |
Агент виконує незворотні зміни стану за секунди без участі людини та вікна для скасування. |
Розділіть рішення та виконання. Агент лише пропонує дію. Сервіс політик перевіряє обсяг та схвалення перед виконанням, із прив’язкою схвалення до конкретної дії (OWASP). Жоден запис стану автентифікації не фіксується без цієї перевірки та вікна для скасування. Відповідальний: інженерія платформи та команда розробки ШІ. |
|
Журналювання дій агента |
Прогалина у виявленні. Захоплення контролю не залишило жодного сповіщення, і Meta не опублікувала, скільки облікових записів було скомпрометовано до виправлення (TechCrunch). |
Без передачі телеметрії по кожній дії до SIEM, захоплення контролю авторизованим агентом невидиме для SOC. |
Видавайте структуровані метадані рішення для кожного запису стану автентифікації до SIEM: клас дії, результат авторизації, ідентифікатор схвалення, результат, версія політики (OWASP). Запис, який ваш SIEM не бачить, — це запис, який ви не можете захистити. Відповідальний: SOC та інженерія виявлення. |
Виправлення полягає не в додаванні чергового запиту MFA до екрана входу. Люди, які пережили інцидент Meta, вже мали цей контроль.
Виправлення полягає в тому, щоб вилучити авторизацію зі “системи честі” шляху відновлення і поставити її за захисний механізм, який не зсувається лише тому, що запит звучить переконливо. Створюйте агент так, щоб SOC бачив кожен його запис, і щоб будь-який запис, який змінює власника облікового запису, не міг бути зафіксований без перевірки, яку модель не контролює.
Meta щойно показала, що відбувається, коли найдовірливіший співробітник команди також тримає ключі. Наступний подібний агент вже читає вашу інтелектуальну власність та фінансову інформацію.
Як захиститися (Порада ІТ-Блогу): Для звичайних користувачів: завжди використовуйте надійну, унікальну парольну фразу для кожного облікового запису та вмикайте багатофакторну автентифікацію (MFA) скрізь, де це можливо. Для адміністраторів: ретельно перевіряйте всі системи, що використовують ШІ для взаємодії з обліковими записами, особливо у процесах відновлення, і переконайтеся, що всі критичні дії підлягають додатковій, незалежній перевірці.
Джерело новини: venturebeat.com