تخطى إلى المحتوى الرئيسي
شارك

ثغرة في مساعد دعم Meta الذكي تمكن المخترقين من سرقة حسابات Instagram

فريق جلتش3 يونيو1 مشاهدة6 دقائق
شارك
ثغرة في مساعد دعم Meta الذكي تمكن المخترقين من سرقة حسابات Instagram

اختراق حسابات Instagram رفيعة المستوى عبر ثغرة بمساعد دعم Meta الذكي. يبرز هذا الحادث مخاطر الاعتماد على الذكاء الاصطناعي في الأمن دون رقابة بشرية صلبة.

مقدمة تحليلية

في الحادي والثلاثين من مايو الماضي، شهدت الأوساط الأمنية والتقنية أزمة غير مسبوقة كشفت عن ثغرة حرجة للغاية في هندسة استجابة خدمة العملاء والتحقق من الهوية الرقمية المدعومة بالذكاء الاصطناعي لدى شركة Meta. استغل قراصنة إلكترونيون ثغرة في المساعد الذكي المخصص للدعم الفني ليرتكبوا سلسلة من عمليات الاختراق والسيطرة على حسابات Instagram رفيعة المستوى ذات قيمة سوقية وتأثير سياسي كبيرين، بما في ذلك الحساب الرسمي لإدارة أوباما في البيت الأبيض وحساب رئيس القيادة الفنية لقوات الفضاء الأمريكية. تم تشويه هذه الحسابات الحساسة بنشر صور وشعارات مؤيدة لإيران، مما يثبت بالدليل القاطع المخاطر الكامنة في التبني المتسرع للذكاء الاصطناعي التوليدي دون إطار أمني متكامل. إن خطورة هذا الاختراق لا تنبع من تعقيد شفرته البرمجية، بل من بساطته الشديدة واعتماده على التلاعب النفسي والمنطقي ببوت الدعم الفني، وهو ما يُعرف في عالم أمن المعلومات باختراق منطق الأعمال. لقد فضلت المنصة تقليل الاحتكاك وتسهيل استرداد الحسابات للمستخدمين الذين يواجهون صعوبة في الوصول لبياناتهم، على حساب فرض معايير تحقق صارمة وقوية. ونتيجة لذلك، أدت هذه السياسة المرنة إلى تمهيد الطريق للقراصنة للسيطرة على حسابات تقدر قيمتها الإجمالية بمئات الآلاف من الدولارات في الأسواق المظلمة، مما يفتح صفحة جديدة في تكتيكات الهندسة الاجتماعية الموجهة ضد الأنظمة المستقلة. تشير التقارير الأولية إلى أن المشكلة قد تم حلها عبر رقعة أمنية عاجلة أطلقتها شركة Meta خلال عطلة نهاية الأسبوع التي تلت الحادثة مباشرة. ومع ذلك، فإن هذه الواقعة تترك أسئلة معلقة حول جاهزية البنية التحتية الأمنية لكبرى الشركات التقنية لمواجهة جيل جديد من الهجمات التي تستهدف الطبقة اللغوية للذكاء الاصطناعي بدلاً من البنية البرمجية التقليدية، لاسيما وأن أتمتة العمليات الحساسة مثل إعادة تعيين كلمات المرور تمثل نقطة جذب قصوى للمهاجمين على مستوى العالم.

التحليل التقني

اعتمدت آلية الاختراق التي نشرها المهاجمون عبر مقاطع فيديو توضيحية على منصات التواصل غير المراقبة مثل Telegram على سلسلة من الخطوات المنظمة التي استهدفت تفادي أنظمة الدفاع التلقائية لـ Instagram وثم استغلال ثقة المساعد الذكي. تضمنت الثغرة المكتشفة وطريقة استغلالها العناصر التقنية التالية بالتفصيل: أولاً، تزييف الموقع الجغرافي وحالة الاتصال: استخدم المهاجمون شبكات افتراضية خاصة VPN لتغيير عناوين بروتوكول الإنترنت IP الخاصة بهم لتطابق جغرافياً المدينة أو النطاق الجغرافي المعتاد الذي يسجل منه صاحب الحساب المستهدف دخوله عادةً. هذه الخطوة حاسمة لأن أنظمة مكافحة الاحتيال في Meta تفحص المواقع الجغرافية كعامل ثقة أساسي، ومطابقة الموقع تقلل من احتمالية إطلاق تحذيرات الأمان الآلية. ثانياً، استدراج المساعد الذكي في تدفق استرداد الحساب: بعد محاكاة الموقع، قام المهاجمون بتقديم طلب إعادة تعيين كلمة المرور للحساب المستهدف، واختيار خيار المساعدة عبر المحادثة المباشرة مع المساعد الذكي AI Support Assistant. بدلاً من اتباع الإجراءات القياسية المتمثلة في إرسال الرمز للبريد الأصلي، قام المهاجمون بإرشاد البوت إلى أنهم فقدوا الوصول تماماً للبريد الأساسي ويرغبون في تحديثه. ثالثاً، تحديث البيانات وتوليد الرموز أحادية الاستخدام OTP: استجاب البوت لتعليمات المهاجمين وقام بإضافة عنوان بريد إلكتروني جديد يمتلكه القراصنة إلى قاعدة بيانات الحساب مباشرة أثناء الجلسة. وبمجرد التحديث، قام البوت بإرسال رمز تعيين كلمة المرور المؤقت إلى العنوان الجديد، مما مكن القراصنة من تسجيل الدخول وإقصاء الملاك الأصليين. ويمكن تلخيص نقاط الضعف التقنية التي مكنت من هذا الهجوم في النقاط التالية:
  • غياب التحقق من الهوية متعدد العوامل في تدفق البوت: لم يتطلب مساعد الدعم تقديم وثائق رسمية أو تأكيدات حيوية إضافية لإجراء تغيير حساس مثل تعديل البريد الإلكتروني.
  • مرونة زائدة في فهم السياق: تم تصميم نموذج اللغة الكبير ليكون مساعداً وودوداً للغاية، مما جعله عرضة لتقنيات كسر الحماية اللفظية وتوجيه الأوامر المباشرة Prompt Injection.
  • تجاوز أنظمة المراقبة اليدوية: افتقرت عمليات تعديل البيانات الحساسة عبر الذكاء الاصطناعي إلى نظام تدقيق بشري موازٍ أو تأخير زمني يتيح للمالك الأصلي إلغاء العملية قبل إتمامها.
من الناحية التقنية، أكدت الجهات الأمنية أن قواعد البيانات الخلفية وقنوات التشفير لشركة Meta كانت سليمة بالكامل ولم تتعرض لأي اختراق برمجى تقليدي مثل حقن SQL أو استغلال ثغرات يوم الصفر في الخوادم. الخلل كان بالكامل في منطق وسلوك تطبيق المساعد الذكي الذي وثق بالمستخدم بطريقة عمياء وسهل له تجاوز الإجراءات الأمنية المعتادة.

السياق وتأثير السوق

تاريخياً، واجهت شركة Meta انتقادات حادة بسبب ضعف قنوات الدعم الفني البشري الخاص بها، حيث تفتقر المنصات التابعة لها مثل Facebook وInstagram إلى نظام تواصل فعال مع المستخدمين لحل مشكلات الحسابات المغلقة أو المسروقة. غالباً ما تستغرق عملية استرداد حساب معطل أسابيع من تبادل الرسائل التلقائية غير المجدية. لحل هذه الأزمة وتقليص النفقات التشغيلية الهائلة وتجنب سخط المستخدمين، قررت Meta دمج حلول الذكاء الاصطناعي التوليدي كطبقة واجهة تواصل ذكية للتعامل مع طلبات الاسترداد المعقدة وتفعيل الحسابات. لكن هذا الحل الاقتصادي خلق تحديات أمنية بالغة الأثر على السوق وتداول الحسابات الرقمية. تمتلك الأسماء القصيرة والنادرة لحسابات Instagram المعروفة باسم حسابات OG سوقاً سوداء نشطة للغاية، حيث تُباع بعض هذه الأسماء بأسعار خيالية تتجاوز نصف مليون دولار. هذه القيمة المادية العالية تجعل من أي ثغرة في أنظمة التحقق وسيلة لتحقيق أرباح غير مشروعة ضخمة للقرصنة المنظمة. كما أن نجاح القراصنة في توجيه مثل هذه الضربات لحسابات سياسية رفيعة المستوى يشير إلى إمكانية استخدام هذه الثغرات في حملات التضليل الإعلامي والحرب النفسية الموجهة دولياً. يقارن الخبراء هذا التحول بما حدث في قطاع الخدمات المصرفية والمالية عندما بدأت البنوك في استخدام البوتات التفاعلية لتقديم الخدمات؛ حيث أدى غياب الرقابة الأمنية المشددة في البداية إلى تزايد عمليات الاحتيال المالي وسرقة الهويات. واليوم، تقع كبرى منصات التواصل الاجتماعي في الخطأ ذاته عبر إعطاء نماذج الذكاء الاصطناعي صلاحيات واسعة تؤثر على سلامة الحسابات الرقمية دون مراجعة كافية.

رؤية Glitch4Techs

إننا في Glitch4Techs نرى أن هذه الحادثة تكشف عن جوهر الأزمة القادمة في أمن المعلومات المعتمد على الذكاء الاصطناعي. النماذج اللغوية الكبيرة تم تدريبها لخدمة المستخدم وتسهيل تجربته، وهو ما يتناقض جذرياً مع العقلية الأمنية التي تفترض سوء النية وتبحث عن أدلة قوية لإثبات الهوية Zero Trust. عندما نمنح برمجيات المحادثة الذكية القدرة على اتخاذ قرارات تنفيذية وتعديل بيانات المستخدمين الحساسة، فإننا نسلم مفاتيح الحصون الرقمية لكيانات برمجية سهلة الخداع والاقناع. نتوقع في Glitch4Techs أن نشهد موجة جديدة من الهجمات المركبة التي تستهدف واجهات المحادثة Chatbots للشركات الخدمية والمصرفية خلال الأشهر المقبلة. لا يمكن حل هذه المشكلة بمجرد إطلاق رقع برمجية مؤقتة؛ بل يتطلب الأمر إعادة تصميم شاملة لكيفية تفاعل نماذج الذكاء الاصطناعي مع الأنظمة الخلفية. يجب عزل النماذج اللغوية تماماً عن الصلاحيات المباشرة لتغيير البيانات الحساسة، وجعل دورها يقتصر على جمع المعلومات وتمريرها لأنظمة مصادقة صارمة ومستقلة. وفي النهاية، تظل النصيحة الذهبية للمستخدمين لحماية أصولهم الرقمية هي عدم الاعتماد المطلق على حماية الشركات؛ بل تفعيل أعلى درجات المصادقة متعددة العوامل MFA واستخدم مفاتيح الأمان الفيزيائية التي تعطل تماماً قدرة أي مساعد ذكي على إعطاء حسابك للمخترقين مهما بلغت قدرته على الإقناع.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.