Meta, AI 챗봇 악용으로 Instagram 계정 수천 개 해킹 확인

• Instagram의 AI 지원 계정 복구 시스템 취약점으로 비밀번호 재설정 링크가 공격자 통제 이메일로 발송돼 계정 탈취가 가능해진 사건
• 데이터 침해 통지서 기준 Meta는 최소 20,225명에게 계정 침해를 통지
• 공격자는 전체 Instagram 및 연결 계정을 장악할 수 있었고, 연락처·생년월일·프로필 정보와 게시물·직접 메시지·계정 활동에 접근 가능
• 별도 코드 경로의 버그가 요청 이메일과 계정 이메일의 일치 여부를 확인하지 못해, 이중 인증이 꺼진 계정의 비밀번호 재설정을 악용할 수 있었음
• Meta는 AI 챗봇을 비활성화하고 계정 재설정 코드 경로를 제거했으며, 재발 방지를 위해 다른 챗봇 점검도 진행 중

피해 규모와 접근 가능 정보

• Meta는 데이터 침해 통지서에서 최소 20,225명에게 계정 침해 사실을 알렸고, 이 가운데 Maine 거주자는 30명
• 계정 침해는 전체 Instagram 계정과 연결 계정 탈취로 이어질 수 있었고, 연락처 정보, 생년월일, 프로필 정보, 게시물, 직접 메시지, 계정 활동에 대한 접근 권한을 동반
• 해킹 중 어떤 개인정보가 실제로 접근됐는지 여부는 Meta가 알지 못하는 상태

취약점과 악용 방식

• 침해는 Instagram용 AI 지원 계정 복구 시스템 취약점과 관련되며, 이 취약점은 Instagram 사용자 계정의 비밀번호 재설정 수행에 악용
• 이 결함은 이중 인증이 켜지지 않은 계정의 비밀번호를 누구나 재설정할 수 있게 했고, 챗봇은 계정 소유자 이메일 대신 공격자가 통제하는 이메일로 확인 코드를 발송
• 별도 코드 경로의 버그 때문에 비밀번호 재설정을 요청한 사람이 제공한 이메일 주소와 해당 Instagram 계정에 연결된 이메일 주소의 일치 여부를 시스템이 제대로 확인하지 못함
• 시스템은 계정에 이전에 연결되지 않은 이메일 주소가 제공됐을 때 요청을 거부하지 않고 해당 이메일로 비밀번호 재설정 링크를 보냈고, 권한 없는 제3자가 자신이 소유하지 않은 계정의 재설정 링크를 받을 수 있었음
• 공격자는 이 단계에서 피해자의 비밀번호를 재설정하고 정당한 소유자인 것처럼 계정을 탈취할 수 있었음

기간과 사용자 통지

• Maine 목록 기준 해킹은 4월 17일경 시작해 Meta가 챗봇을 보호한 이번 주까지 지속
• Instagram은 이번 주 초 영향을 받은 사람들에게 비밀번호 재설정 알림 발송을 시작했고, 일부는 해킹이 계속되고 있다고 보고
• Meta는 영향을 받은 사용자에게 비밀번호 재설정과 안전하고 검증된 채널을 통한 재인증을 지시

Meta의 조치와 남은 불명확성

• Meta는 현재 AI 챗봇을 비활성화했고, 챗봇이 사용자 계정을 재설정할 수 있게 한 코드 경로를 제거
• Meta는 반복 사고 방지를 위해 자사 플랫폼 전반의 다른 챗봇도 점검 중
• 챗봇 악용에 이른 구체적 상황은 아직 불명확
• 이번 사건은 Meta가 AI에 계속 집중하는 가운데, 수천 명의 직원 해고와 최고위 임원에 대한 주식 인센티브 지급 이후 발생