Hekerji so umetno inteligenco prepričali, da jim preda pot do tujih račnov
Hekerji naj bi Instagram račune prevzemali tako, da so Metinega pomočnika z umetno inteligenco prepričali, da spremeni elektronski naslova uporabnika.
Prva stran dneva
Dnevni pregled najpomembnejših zgodb doma in po svetu.
Za hitre novice, aktualne teme in zanimive vsebine izberite Svet24 za svoj prednostni vir na Googlu.
Nastavi
Po poročanju 404 Media so hekerji izkoristili Metinega pomočnika z umetno inteligenco in prek njega prevzeli več odmevnih Instagram računov.
Namesto da bi vdrli v Metine strežnike ali ugibali gesla, naj bi pomočnika prepričali, naj z izbranim računom poveže nov elektronski naslov, ki so ga nadzorovali sami.
Ko je bil ta naslov dodan, so lahko začeli postopek za obnovo dostopa in prišli do možnosti prevzema računa.
Primer zato ne odpira le vprašanja ene varnostne napake, ampak širše vprašanje: kaj se zgodi, ko umetna inteligenca ne samo svetuje, ampak lahko tudi ukrepa.
Ta naj bi ljudem pomagal, ko imajo težave z računom. Denimo takrat, ko izgubijo dostop, pozabijo geslo ali ne morejo več do elektronskega naslova, s katerim so se nekoč prijavili.
Toda prav takšne okoliščine so za varnost posebej občutljive. Sistem mora takrat zelo zanesljivo vedeti, ali res govori z lastnikom računa ali z nekom, ki se zanj samo izdaja.
Po poročanju 404 Media naj bi se tu zalomilo. Napadalci naj bi Metinega pomočnika prepričali, da z izbranim Instagram računom poveže nov elektronski naslov, ki so ga nadzorovali sami.
Ko je bil ta naslov enkrat dodan, so lahko nadaljevali postopek za obnovo dostopa. V praksi je to pomenilo, da so dobili možnost prevzema računa, ki ni bil njihov.
Meta je po objavi zgodbe sporočila, da je bila težava odpravljena in da je podjetje prizadete račune zavarovalo. Podjetje ni podrobno pojasnilo, koliko računov je bilo prizadetih oziroma katera varovalka je odpovedala.
Ko pomočnik ne le svetuje, ampak ukrepa
Običajen spletni pomočnik uporabniku pove, kje naj kaj najde, kam naj klikne ali kateri obrazec naj izpolni. Tak sistem daje navodila. Ne odloča o tem, kdo sme v račun.
Metin pomočnik pa je bil zamišljen širše. Meta ga je predstavila kot pomoč, ki naj ne bi ponujala samo nasvetov, ampak tudi konkretne rešitve. To je za uporabnike lahko priročno.
Kdor je kdaj izgubil dostop do profila, ve, kako mučno je iskanje pomoči med obrazci, samodejnimi odgovori in postopki, ki se vrtijo v krogu.
Zakaj je elektronski naslov tako pomemben
Pri večini spletnih računov je elektronski naslov glavna pot za vračanje dostopa. Če pozabite geslo, vam platforma pošlje povezavo ali kodo prav tja. Zato je elektronski naslov pogosto zadnja varovalka pred tem, da bi nekdo drug prevzel vaš račun.
Zato bi morala biti sprememba elektronskega naslova ena najbolj varovanih opravil na vsaki večji platformi. Pri tem ne bi smelo zadostovati, da nekdo v pogovoru zveni prepričljivo. Sistem bi moral zahtevati trdne dokaze, da zahtevo res pošilja lastnik računa.
V tem primeru naj bi napadalci našli ravno obvoz mimo teh pravil. Ne skozi glavna vrata, ampak skozi podporni sistem, ki naj bi bil namenjen reševanju težav.
Vredni niso samo računi slavnih
Med računi, ki se omenjajo v povezavi s primerom, so tudi zelo znani profili, med drugim račun Bele hiše iz časa Baracka Obame, račun Sephore in račun visokega predstavnika ameriških vesoljskih sil.
Toda zgodba ni pomembna samo zato, ker so bile tarče znane. V takšnih primerih so zanimivi tudi manjši računi, če imajo kratka, redka ali prepoznavna uporabniška imena. Takšna imena imajo lahko na sivem trgu vrednost, ker so redka in jih je mogoče prodati.
Za marsikoga se zdi nenavadno, da bi nekdo vdrl v profil na družbenem omrežju samo zaradi uporabniškega imena. A kratka, redka ali prepoznavna imena imajo lahko na sivem trgu visoko vrednost.
Po poročanju tujih medijev in navedbah iz Metinih tožb so se takšna imena prodajala za več tisoč, v posameznih primerih pa tudi za več deset tisoč dolarjev. Še posebej zanimivi so profili z eno besedo, nekaj črkami, imenom znamke ali večjim številom sledilcev.
Ko izgine račun, ne izgine samo geslo
Račun na družbenem omrežju ima za vsakega uporabnika drugačno vrednost. Nekdo ga uporablja predvsem za osebne objave in sporočila, drugi prek njega dela, prodaja, obvešča stranke ali ohranja stik z občinstvom. Zato izguba dostopa ni vedno le neprijetnost, ki jo človek reši z novo prijavo.
Ko nekdo prevzame tuj račun, lahko v imenu lastnika objavlja, piše njegovim sledilcem, bere zasebna sporočila ali račun uporabi za prevare. Pri osebnem profilu je to poseg v zasebnost, pri ustvarjalcih vsebin in podjetjih pa lahko pomeni tudi poslovno škodo in izgubo zaupanja.
Zato je pri takšnih primerih ključno, kako platforma pomaga uporabniku, ki je ostal brez dostopa.
Postopek mora biti dovolj hiter, da človek ne obtiči pred zaprtimi vrati, hkrati pa dovolj varen, da ga ne more izkoristiti nekdo drug.
Prav tu se pri uporabi umetne inteligence v podpori odpre največje tveganje: sistem, ki naj bi pomagal pravemu lastniku, lahko ob slabih varovalkah pomaga tudi napadalcu.
Kaj lahko uporabniki vseeno naredijo
Uporabniki takšne napake na strani platforme ne morejo preprečiti sami. Lahko pa poskrbijo, da je njihov račun bolje zaščiten, če pride do poskusa vdora.
Najprej je smiselno preveriti, kateri elektronski naslov in telefonska številka sta povezana z računom na družbenem omrežju. Pri pomembnejših profilih je dobro vklopiti dodatno preverjanje prijave, najbolje prek posebne aplikacije ali varnostnega ključa, ne le z geslom.
Koristno je tudi občasno pogledati, katere naprave so prijavljene v račun, in odstraniti tiste, ki jih ne prepoznate. Enako pomemben je elektronski naslov, s katerim je profil povezan.
Če je slabo zaščitena e-pošta, je ranljiv tudi račun na družbenem omrežju. Zato naj ima e-poštni račun močno, unikatno geslo in vključeno dodatno zaščito.
Vse to zmanjša tveganje, ne reši pa osnovne težave. Če podporni sistem napačni osebi dovoli spremembo ključnih podatkov, tudi zelo previden uporabnik ne more narediti veliko.
Zato mora biti glavni del odgovornosti še vedno na platformi, ki takšne postopke omogoča.
Prva stran dneva
Dnevni izbor najpomembnejših zgodb doma in po svetu, dostavljen neposredno v vaš e-poštni nabiralnik.
