Meta AI dễ dãi đến mức ngờ nghệch,

Meta AI dễ dãi đến mức ngờ nghệch, "nhiệt tình" giúp hacker chiếm tài khoản Instagram của người dùng khi được nhờ vả

Thứ 3, 02/06/2026 06:20
Điều đáng lo hơn cả là ngay cả tài khoản đã được bật bảo mật 2 lớp cũng chưa chắc thoát khỏi cuộc tấn công này.

Cuối tháng 5/2026, hàng loạt tài khoản Instagram bị chiếm đoạt theo một cách mà ngay cả các chuyên gia bảo mật cũng phải kinh ngạc. Kẻ tấn công không cần crack mật khẩu, không cần xâm nhập máy chủ Meta. Chúng chỉ cần nhắn tin với chatbot AI hỗ trợ của chính Instagram và yêu cầu nó gửi mã đặt lại mật khẩu về địa chỉ email do chúng kiểm soát. Bot thực hiện đúng như vậy.

Cơ chế tấn công được ghi lại chi tiết trong các video lan truyền trên Telegram. Kẻ tấn công trước tiên dùng VPN để giả lập địa chỉ IP trùng khu vực với tài khoản mục tiêu, sau đó vào trang đăng nhập Instagram và nhấn "quên mật khẩu". Tại đây, nút truy cập chatbot AI hỗ trợ có tên "Get Support" xuất hiện.

meta ai scrapingipv blog 1024x683

Thay vì chọn các tùy chọn khôi phục thông thường, kẻ tấn công nhắn thẳng một câu yêu cầu chatbot AI gửi mã reset về email của mình. Chatbot xử lý yêu cầu mà không kiểm tra danh tính. Mã 8 chữ số nhận được sau đó được nhập lại vào chatbot để tạo mật khẩu mới, toàn bộ quá trình hoàn tất mà chủ tài khoản thực sự không hay biết.

Trong đợt tấn công này, nhiều tài khoản có sức ảnh hưởng lớn bị nhắm đến. Tài khoản Instagram chính thức của Nhà Trắng dưới thời Tổng thống Obama, vốn không đăng bài từ tháng 1/2017, bị chiếm và hiển thị nội dung chính trị từ nhóm tin tặc được cho là có liên hệ với Iran.

Tài khoản của chuỗi bán lẻ mỹ phẩm Sephora và Trung sĩ trưởng Lực lượng Vũ trụ Mỹ cũng bị chiếm trong cùng đợt. Các handle ngắn có giá trị cao trên thị trường chợ đen như @hey và @jowo, ước tính tổng giá trị hơn 1 triệu USD, bị lật và rao bán trên Telegram chỉ trong vài giờ.

04kwbyj6nyqjaoskoz6f01w 2fitlimsize768x
Sau khi ấn vào nút quên mật khẩu, hacker chỉ cần "nhờ" reset địa chỉ email là được chatbot AI của Meta nhiệt tình giúp đỡ

Điều khiến sự cố này trở nên đáng lo hơn mức một vụ hack thông thường nằm ở chỗ chatbot AI này không phải sản phẩm mới ra mắt thiếu kiểm tra. Meta triển khai nó vào tháng 3/2026 với lời quảng bá rõ ràng rằng công cụ này có khả năng phát hiện và ngăn chặn các hành vi chiếm đoạt tài khoản.

Chưa đầy 3 tháng sau, chính chatbot AI đó trở thành cửa hậu cho kẻ tấn công. Một công ty trị giá 1.600 tỷ USD đã trao cho AI quyền thay đổi thông tin tài khoản người dùng mà không có bước xác minh danh tính nào đáng kể.

Các nhà nghiên cứu bảo mật gọi đây là dạng tấn công prompt injection, tức việc dùng câu lệnh ngôn ngữ tự nhiên để thao túng AI thực hiện hành động ngoài phạm vi được phép. Đây không phải lỗ hổng kỹ thuật phức tạp đòi hỏi kiến thức lập trình chuyên sâu. Vấn đề nằm ở chỗ Meta đã kết nối AI trực tiếp với hệ thống quản lý tài khoản mà không dựng đủ rào chắn xác thực.

cq5damweb12801280

Nhà nghiên cứu ZachXBT và Dark Web Informer, hai trong số những người đầu tiên ghi lại kỹ thuật này, mô tả đây là lỗi "confused deputy", trường hợp một hệ thống được tin tưởng và có quyền hạn cao bị thao túng để thực hiện hành động thay mặt kẻ không được phép.

Câu hỏi nhiều người dùng quan tâm nhất là bảo mật hai lớp có bảo vệ được không. Câu trả lời là chưa chắc. Nhiều người dùng trên Telegram cho biết kỹ thuật này không hiệu quả với tài khoản đã bật xác thực hai lớp. Tuy nhiên một số trường hợp được ghi nhận cho thấy tài khoản có 2FA vẫn bị chiếm thành công. Cơ chế cụ thể khiến 2FA bị vượt qua trong những trường hợp đó chưa được làm rõ hoàn toàn, kể cả sau khi Meta lên tiếng.

Phía Meta xác nhận đã vá lỗi và khôi phục các tài khoản bị ảnh hưởng, đồng thời nhấn mạnh không có hệ thống nội bộ nào bị xâm phạm. Tuy nhiên các nhà nghiên cứu chỉ ra lỗ hổng này có thể đã tồn tại từ tháng 3/2026, ngay từ thời điểm bot được triển khai, và số tài khoản bị ảnh hưởng trong suốt thời gian đó có thể lên đến hàng nghìn.

Một số người dùng cũng phản ánh vẫn gặp khó khăn trong việc lấy lại tài khoản dù Meta tuyên bố đã khắc phục xong. Trong thời điểm này, người dùng Instagram nên bật xác thực hai lớp nếu chưa làm, dù đây chưa phải biện pháp bảo vệ tuyệt đối trước kiểu tấn công khai thác chính AI của nền tảng.

Nguyễn Hải

Cùng chuyên mục

Được chấm số điểm “trên trời”, Mbappe vẫn “méo mặt” vì hàng thủ ê chề của tuyển Pháp

Chủ nhật, 19/07/2026 06:49
Trong ngày Mbappe vẫn ghi dấu ấn nhờ cú đúp thì hàng phòng ngự tuyển Pháp lại có trận đấu vô cùng thảm hoạ trước tuyển Anh ở trận tranh hạng 3 World Cup 2026.

"Cậu Be" Bellingham đi vào lịch sử, trở thành cầu thủ Anh đầu tiên ghi nhiều bàn thắng nhất ở 1 kỳ World Cup

Chủ nhật, 19/07/2026 06:45
Bellingham chính thức thiết lập kỷ lục mới khi trở thành cầu thủ Anh ghi nhiều bàn thắng nhất trong một kỳ World Cup.

Soi MPV điện Wuling Grango vừa về đại lý: Xe 7 chỗ giá 499 triệu, cỡ mâm độc lạ, sạc 30 phút được 80% pin

Chủ nhật, 19/07/2026 06:30
Wuling Grango cuối cùng cũng đã xuất hiện tại các đại lý sau khi chính thức mở bán tại Việt Nam. Mẫu MPV thuần điện 7 chỗ có giá niêm yết 499 triệu đồng gây chú ý nhờ không gian rộng, cấu hình 7 chỗ cùng phạm vi hoạt động khoảng 300 km sau mỗi lần sạc.

Mbappe chính thức vượt Messi trở thành chân sút vĩ đại nhất các kỳ World Cup

Chủ nhật, 19/07/2026 05:46
Mbappe đi vào lịch sử World Cup.

Nóng hơn cả trận tranh hạng Ba: Mbappe nổ súng ghi bàn, pha ăn mừng hướng về bạn gái Ester Exposito trên khán đài

Chủ nhật, 19/07/2026 05:37
Diễn viên Ester Exposito xuất hiện trên khán đài trong trận đấu mà Mbappe toả sáng.
     
Nổi bật trong ngày

Lời chia tay đột ngột của Realme tại thị trường Trung Quốc

Thứ 7, 18/07/2026 01:20
Sau nhiều tháng âm thầm tái cơ cấu và tích hợp sâu hơn vào hệ thống OPPO, Realme quyết định tạm dừng ra mắt sản phẩm mới tại quê nhà để chuyển trọng tâm sang thị trường quốc tế.

Ra mắt máy tính bảng gaming màn hình OLED 9 inch 185Hz, 1.600 nits, cấu hình siêu mạnh, tản nhiệt chất lỏng, giá tầm 20 triệu

Thứ 7, 18/07/2026 01:36
RedMagic Astra 2 chính thức bước ra thị trường quốc tế với màn hình OLED tần số quét rất cao, chip Snapdragon 8 Elite Gen 5, hệ thống tản nhiệt mới cùng nhiều nâng cấp dành cho game thủ và người dùng cần hiệu năng mạnh.

BYD tung ưu đãi 'độc' cho tài xế dịch vụ: Giảm tới gần 70 triệu, tặng bảo hành pin mở rộng, áp dụng cho xe điện lẫn xe hybrid

Thứ 7, 18/07/2026 06:00
Giữa bối cảnh chi phí nhiên liệu liên tục tạo áp lực, việc chuyển đổi sang xe năng lượng mới đang trở thành xu hướng tất yếu của giới kinh doanh vận tải. BYD không nằm ngoài cuộc chơi này.

Apple tăng giá iCloud+ tại Việt Nam, gói 50 GB tăng mạnh nhất

Thứ 7, 18/07/2026 08:00
Đây là lần đầu tiên Apple điều chỉnh giá iCloud+ tại Việt Nam kể từ giữa năm 2023, đồng thời nằm trong đợt tăng giá diễn ra tại 8 quốc gia trên thế giới.

Game thủ sau tuổi 30: Khi ví tiền đã đủ đầy nhưng thời gian chơi game chỉ còn là xa xỉ

Thứ 7, 18/07/2026 08:51
Có trong tay chiếc ví đủ dày để sở hữu mọi siêu phẩm cấu hình khủng, thế nhưng rào cản lớn nhất của các game thủ sau tuổi 30 lại là sự biến mất của quỹ thời gian rảnh rỗi.
xe.nguoiduatin.vn